Российская компания Айдеко в ноябре прошлого года выпустила новую версию своего продукта – умного межсетевого экрана нового поколения Ideco UTM. Версия под номером 14 стала уже третьей за 2022 год, разработчики стремятся поддерживать быстрые циклы разработки, удовлетворяя потребности рынка в сегменте межсетевых экранов нового поколения (NGFW).
Ключевыми особенностями 14 версии Ideco UTM являются:
- новая версия консоли центрального управления с созданием правил Контроля приложений, Контент-фильтра и т.д.;
- агрегирование каналов (Link Aggregation Control Protocol, LACP);
- создание правил межсетевого экрана с использованием GeoIP;
- расширенная интеграция модуля предотвращения вторжений с SIEM-системами;
- SSO-авторизация через Ideco агент.
Мощным изменением, хотя и незаметным для администратора Ideco UTM, стало обновление ядра Linux и множества других компонентов, лежащих в основе продукта. Это увеличивает безопасность и скорость работы UTM.
Полный список изменений доступен по ссылке (доступно также видео с обзором функционала и ответами на вопросы пользователей).
В этой статье мы решили детально рассмотреть Ideco UTM 14 версии.
Архитектура решения
Внедрение Ideco UTM не требует разработки сложной архитектуры: устройства подключаются к сети передачи данных в нужном месте корпоративной сети. А предустановленные производителем правила обеспечат базовый набор защиты сети передачи данных.
Для обеспечения отказоустойчивости устройства можно установить в кластере горячего резервирования (active-passive). Кластер Ideco UTM будет состоять из двух нод: активной, обрабатывающей сетевые запросы, и пассивной, готовой перевести трафик на себя при отсутствии связи с активной нодой. Взаимодействие между нодами осуществляется по отдельному каналу, используется механизм keep-alive.
Кластер из устройств Ideco UTM можно использовать не только в режиме резервирования, но и балансировки, обеспечив перераспределение трафика между нодами и снизив нагрузку на устройства.
Для удобства централизованного управления на отдельный сервер может быть установлена центральная консоль управления. С её помощью можно создавать политики для Межсетевого экрана, Контроля приложений, Контент-фильтра и Ограничения скорости, применяя их к отдельному устройству или группе серверов Ideco UTM.
Системные требования
Ideco UTM, как большинство современных решений, поставляется в удобном для заказчика варианте, например, в виде программно-аппаратного комплекса или виртуальной машины, в различных вариантах:
- Программно-аппаратный комплекс Ideco UTM;
- ISO-образ для установки Ideco UTM на сервер клиента;
- Виртуальная машина Ideco UTM (поддерживаются гипервизоры VMware Workstation/ESXi, Microsoft Hyper-V, VirtualBox, KVM, Citrix XenServer).
Модельный ряд ПАК Ideco UTM удовлетворяет потребности, как малого бизнеса, так и крупных компаний:
| Характеристики | Ideco SX+ | Ideco MX | Ideco MX Cert (сертификат ФСТЭК) | Ideco MX+ Cert (сертификат ФСТЭК) | Ideco LX | Ideco LX+ | Ideco EX |
| Кол-во пользователей | от 50 до 75 | от 50 до 350 | от 100 до 350 | от 300 до 700 | от 300 до 1000 | от 1000 до 3000 | от 3000 |
| Межсетевой экран, трафик EMIX* | до 5 Гбит/сек | до 8 Гбит/сек | до 3 Гбит/сек | до 6 Гбит/сек | до 11,5 Гбит/сек | до 19,6 Гбит/сек | до 42 Гбит/сек |
| Контентная фильтрация, трафик EMIX | до 2 Гбит/cек | до 5 Гбит/cек | до 1,7 Гбит/cек | до 3,2 Гбит/cек | до 8,1 Гбит/cек | до 10,2 Гбит/cек | до 25 Гбит/cек |
| Контроль приложений, трафик EMIX | до 1 Гбит/cек | до 2,2 Гбит/cек | до 0,7 Гбит/cек | до 1,3 Гбит/cек | до 3,5 Гбит/cек | до 4 Гбит/cек | до 8,8 Гбит/cек |
| Предотвращение вторжений, трафик EMIX | до 0,4 Гбит/сек | до 1,2 Гбит/сек | до 0,3 Гбит/сек | до 0,6 Гбит/сек | до 1,8 Гбит/сек | до 2 Гбит/сек | до 5 Гбит/сек |
| Режим NGFW (IPS, контент-фильтр, контроль приложений, межсетевой экран), трафик EMIX: | до 0,4 Гбит/сек | до 1,2 Гбит/сек | до 0,3 Гбит/сек | до 0,6 Гбит/сек | до 1,8 Гбит/сек | до 2 Гбит/сек | до 5 Гб/сек |
* EMIX – Enterprise mixed traffic, смешанный корпоративный трафик
Если в инфраструктуре есть свободные вычислительные мощности на серверном оборудовании, то можно установить Ideco UTM на них. Примеры конфигураций физических серверов, подобранные под необходимое количество пользователей, представлены в таблице ниже:
| Количество пользователей | |||||
| 25 | 50-200 | 200-500 | 1000 | 2000 | |
| Процессор | Intel Pentium Gold G5400 или совместимый | Intel i3 8100 или совместимый | Intel i5, i7, Xeon E3 от 3 ГГц или совместимый | Intel Xeon E3, E5 или совместимый | Intel Xeon E5 или совместимый 8-ядерный |
| Объем оперативной памяти | 8 ГБ | 8 ГБ | 16 ГБ | 16 ГБ | 32 ГБ |
| Дисковая подсистема | 64 ГБ | 64 ГБ | 250 ГБ | 500 ГБ | 500 ГБ |
| Сетевые адаптеры | 2 шт.(рекомендуется использовать Intel) | 2 шт.(рекомендуется использовать Intel) | 2 шт.(рекомендуется использовать Intel) | 2 шт.(рекомендуется использовать Intel) | 2 шт.(рекомендуется использовать Intel) |
Как центральная консоль управления, так и межсетевой экран нового поколения, управляются через веб-интерфейс, поэтому отдельное ПО для администрирования не требуется.
Установка и внедрение
Установка Ideco UTM во всех вариантах достаточно проста: в локальной консоли вводятся время, IP-адрес управляющего интерфейса и учётная запись администратора.
Если нужно установить Ideco UTM из готового ISO-образа, нет необходимости заранее настраивать операционную систему – достаточно загрузиться с установочного USB- или CD-носителя.
Для использования Ideco UTM в виртуальной инфраструктуре достаточно импортировать виртуальную машину в среду виртуализации и настроить ее средствами гипервизора.
Дальнейшие настройки (подключение к Интернету, ввод лицензии, создание первоначальных правил) выполняются уже в веб-интерфейсе.
Online-документация доступна по ссылке.
Видеодокументация доступна на YouTube-канале Айдеко.
Функциональные возможности
- Межсетевой экран (файрвол)
Базовый функционал – фильтрация пакетов на уровне L3 сетевой модели OSI.
Она производится по сетевым протоколам, портам и другим признакам сетевого трафика. Для удобства администрирования и создания правил фильтрации трафика можно использовать раздел «Объекты».
В Ideco UTM межсетевой экран нужен для сегментирования подсетей и запрета подключения, например, к определённому серверу по SSH.
Также в этом же разделе интерфейса находятся настройки NAT (трансляции адресов), необходимые при конфигурации взаимодействия подсетей с различной адресацией – например, для передачи данных из одного филиала в другой.
Ещё одна особенность межсетевого экрана в Ideco UTM – GeoIP (определение страны источника или назначения соединения по IP-адресу). Он позволит заблокировать, например, многочисленные атаки с китайских или южноамериканских IP-адресов. Преимуществом перед аналогичными решениями является то, что компания Айдеко просматривает и корректирует базу IP-адресов перед тем, как распространяет её на устройства.
- LACP (агрегирование каналов)
Когда требуется высокая скорость обмена информацией (например, при защите ЦОД), стандартной пропускной способности одного интерфейса может не хватить. В такой ситуации можно настроить Ideco UTM на использование технологии LACP, объединяющей несколько сетевых интерфейсов в один.
- Контроль приложений
Основной инструмент Ideco UTM для организации безопасной работы пользователей в сети Интернет. Контроль приложений работает на L7 сетевой модели OSI и позволяет проводить детальное разграничение доступа к различным приложениям и веб-ресурсам, выполняя глубокий анализ трафика (Deep Packet Inspection): поиск в теле пакета ключевых слов (например, GET для HTTP-пакета) или последовательностей (например, последовательность байтов, характерная для BitTorrent). Таким образом, приложение блокируется не по заголовку сетевого пакета (который легко изменить), а по более неизменным признакам.
- Контент-фильтр
Контент-фильтр позволяет предотвращать доступ к нежелательным интернет-ресурсам по протоколам HTTP/HTTPS. Важная особенность новой версии Ideco UTM – доступна не только блокировка, но и перенаправление на сайт-«заглушку».
Контент-фильтр проверяет адрес запрашиваемого пользователем сайта по собственным спискам запрещенных ресурсов, наполняемых компанией Айдеко. Эти списки загружаются на Ideco UTM при активной подписке на обновления в коммерческих редакциях лицензий. Кроме готовых категорий сайтов из списков («анонимайзеры», «компьютерные игры» и т.д.) есть возможность создать свой список сайтов и использовать его в контент-фильтре.
Также при создании правила можно указать специальные категории трафика:
- все запросы – под данную категорию попадают все запросы к веб-ресурсам;
- все категоризированные запросы – под данную категорию попадают все запросы к веб-ресурсам, входящим во встроенные или пользовательские категории;
- все не категоризированные запросы – под данную категорию попадают все запросы к веб-ресурсам, не входящим во встроенные или пользовательские категории;
- прямое обращение по IP – запросы, при которых пользователь вводит в адресную строку браузера не домен, как обычно, а непосредственно IP-адрес (например, когда открывает веб-интерфейс маршрутизатора).
- Ограничение скорости
В некоторых случаях скорость обмена данными с Интернетом требуется ограничить. Например, маркетинговому отделу нельзя запрещать YouTube или новостные сайты полностью, но крайне желательно предотвратить их бесконтрольное использование. В этом случае поможет механизм ограничения скорости при определенных условиях, например, с помощью «Квот».
- Антивирусы веб-трафика
Ideco UTM позволяет проверять веб-трафик в потоковом режиме. HTTP проверяется автоматически, а для проверки HTTPS нужно расшифровывать его правилом контент-фильтра. Доступно 2 антивирусных решения на выбор: ClamAV и Антивирус Касперского.
Специалисты компании Айдеко рекомендуют использовать ПО Лаборатории Касперского, лицензии для Антивируса и Антиспама приобретаются отдельно.
- Предотвращение вторжений
Важный компонент защиты – предотвращение нежелательных сетевых подключений, определяемых по сигнатурам. В Ideco UTM сигнатуры создаются и наполняются производителем, но администратор может посмотреть их состав и при необходимости добавить исключение или выключить сигнатуру полностью.
Добавленные в исключения объекты исключаются из обработки модулями предотвращением вторжений, контролем приложений, ограничением скорости, и данные по ним не попадают в монитор трафика.
Важная часть функционала предотвращения вторжений – защита веб-приложений от сетевых атак (Web Application Firewall). Если один из веб-серверов вашей компании располагается во внутренней сетевой инфраструктуре и доступен из Интернета, то атаки на него могут быть очень частыми. Поэтому крайне желательно выявлять и блокировать паттерны, характерные именно для попыток взлома веб-приложений (SQL-инъекции или XSS).
- Антиспам
Если настроить пересылку писем через Ideco UTM (почтовый релей), то появится возможность проверять письма на спам.
При этом подозрительные письма можно как просто удалять, так и пересылать на специальный почтовый ящик.
- SSO-авторизация через Ideco агент
Компьютеры пользователей могут менять IP-адресы в сетях с динамической адресацией. Как тогда реализовывать правила разграничения доступа? Тут на помощь приходит Ideco агент – агентское решение, устанавливаемое на пользовательскую машину и однозначно идентифицирующее устройство при установке сетевого соединения.
- VPN
Ideco UTM может создавать VPN-соединения как в режиме VPN-сервера для удалённого подключения пользователей, так и в режиме Site-to-Site (построение защищённого канала между двумя филиалами).
VPN-сервер поддерживает все современные протоколы – WireGuard, PPTP, PPPoE, IPsec, L2TP, SSTP.
В режиме Site-to-Site VPN устройство Ideco UTM может создать канал не только с другим шлюзом Ideco UTM, но и с любым сетевым устройством, поддерживающим протокол IPsec. В интерфейсе доступен инструмент создания конфигураций под маршрутизаторы MikroTik и Cisco.
- Маршрутизация
Помимо правил межсетевого экранирования, предотвращения вторжений и фильтрации контента Ideco UTM позволяет добавлять статические маршруты, поддерживает протоколы динамической маршрутизации BGP и OSPF.
Это позволяет использовать Ideco UTM не только для защиты от сетевых атак, но и для построения корпоративной сети передачи данных без необходимости приобретения дополнительных устройств.
- Прокcи-сервер
Ideco UTM можно использовать в качестве прокси-сервера или обратного прокси сервера для повышения уровня безопасности пользователей и устройств.
Трафик с Ideco UTM можно перенаправлять на ICAP-сервер.
- Логирование и оповещения
Ideco UTM ведет учет авторизованных пользователей, записывает журналы всех модулей защиты трафика, а также журналы работы самого устройства – VPN-соединения, ядро ОС, DHCP, журнал интеграции с Active Directory.
Смотреть журналы можно не только в графическом интерфейсе. Ideco UTM может отправлять журналы межсетевого экрана и IPS в систему мониторинга (Zabbix) или SIEM по протоколу syslog для их дальнейшего хранения и корреляции.
Доступны и другие методы оповещения – Telegram-бот, SNMP-сообщения.
- Отчетность
В графическом интерфейсе Ideco UTM доступны следующие отчеты: Трафик, События безопасности, Журнал авторизации, Конструктор отчетов. Конструктор отчетов предоставляет возможность создать шаблоны отчетов и настроить формирование их в формате PDF и автоматическую отправку на электронную почту.
- REST API
Для автоматизации конфигурации Ideco UTM можно использовать REST API. Документация доступна по ссылке.
Лицензирование и варианты поставки
Лицензии Ideco UTM складываются из трёх составных частей:
- Количество одновременных пользователей Ideco UTM: пользователи, аутентифицированные на Ideco UTM через клиент или VPN-подключение;
- Редакция Ideco UTM (SMB, Enterprise, ФСТЭК): набор доступных к использованию модулей в системе и особенности их работы. К примеру, модуль “Предотвращение вторжений” есть в редакции Enterprise, но отсутствует в редакции SMB.
Сравнение редакций доступно на сайте компании.
- Срок действия лицензии: SMB – 5 лет, Enterprise – бессрочно, ФСТЭК – ограничено сроком действия сертификата ФСТЭК России (5 лет).
Доступна 40-дневная бесплатная демо-версия.
Центральная консоль управления и Ideco агент распространяются бесплатно, но для их использования нужен установленный Ideco UTM.
Стоимость продуктов Айдеко можно посмотреть по сайте компании.
После окончания действия лицензии Ideco UTM отключаются модули, требующие обновления контента (Контроль приложений, Монитор трафика, Предотвращение вторжений, категории Контент-фильтра от производителя), однако остальной функционал UTM остаётся работоспособным: сетевые функции (маршрутизация трафика, LACP, VLAN), межсетевой экран, VPN, контент-фильтр с пользовательскими правилами.
Сертификация ФСТЭК России
Сертифицированные версии ПАК Ideco UTM MX Cert и MX+ Cert обладают сертификатами ФСТЭК России по требованиям к уровню доверия (4), межсетевым экранам типа А, Б 4-го класса и системам обнаружения вторжений 4-го класса. Они могут быть применены для защиты:
- Персональных данных в ИСПДн до 1 уровня защищенности включительно;
- Информации в государственных информационных системах (ГИС) до 1 класса защищенности включительно;
- Значимых объектов критической информационной инфраструктуры.
Кроме этого, ПО Ideco UTM включено в реестр отечественного программного обеспечения.
Обновление Ideco UTM до 14 версии
Если вы еще не являетесь клиентом компании Айдеко, вы можете запросить бесплатную 40-дневную демо-версию Ideco UTM 14.
Если вы уже используете Ideco UTM, то вы можете бесплатно обновить продукт до последней версии:
- Обновление с релиза Ideco UTM 13 возможно через автоматические обновления.
- Обновление с релизов 8.х, 9.х, 10.х, 11.х, 12.х возможно через автоматические обновления с промежуточным обновлением до версий 9.11, 10.7, 11.10, 12.8.
- Обновление с версии 7.9.9 возможно путем миграции настроек (загрузка бэкапа настроек) на предварительно установленную версию 9.11 и дальнейшее обновление до версии 13.0 с помощью автоматического обновления.
Для перехода на новую версию Ideco UTM необходима активная подписка на обновления.
В случае возникновения сложностей всегда можно обратиться в техническую поддержку или задать вопрос в Telegram-чате пользователей Айдеко.
Roadmap
Ещё на презентации разработчики Айдеко объявили, что планируется сделать в следующей, 15 версии: изменение сетевого стека (улучшение производительности), отображение выданных DHCP-адресов, переработка интерфейса. Впрочем, часть изменений может быть реализована в новых сборках 14 версии.
Подробнее о грядущих изменения можно узнать, посмотрев стрим с разработчиками Ideco UTM.
Заключение
Российский межсетевой экран нового поколения Ideco UTM позволяет создать современную систему сетевой защиты «из коробки». Установка и настройка устройства не требует особых навыков, все параметры доступны в графическом интерфейсе, что значительно облегчает работу сетевых администраторов и не требует привлечения дополнительных ресурсов для небольшой организации. При этом гибкость, производительность и масштабируемость решения может покрыть потребности больших компаний, которые ищут замену западным NGFW-решениям, покинувшим российский рынок в 2022 году.
Отдельно стоит отметить функционал Ideco UTM 14 версии. Устройство обеспечивает все необходимые меры по защите от сетевых атак, позволяет организовать безопасный доступ пользователей и обеспечить надежную работу сети передачи данных. Ideco UTM может использоваться как единственное сетевое устройство для организации и защиты сети передачи данных, так и в составе комплексной системы обеспечения информационной безопасности, выступая как NGFW или Proxy, поставляя данные в системы управления информационной безопасностью.
Гибкая политика лицензирования и различные варианты поставки являются одним из конкурентным преимуществ компании Айдеко.
Русскоязычное сообщество пользователей Ideco UTM в Telegram является дополнительным плюсом к услугам технической поддержки и позволить сэкономить время при администрировании решения.
Безусловно, рынок NGFW в России становится всё более конкурентным, потенциальные покупатели сравнивают решения и выбирают наиболее подходящее для себя. Поэтому, чтобы сделать собственные выводы о продукте, достаточно запросить демо-версию и отработать необходимые сценарии использования.
