Обзор Ideco UTM 13.0, российского универсального шлюза сетевой безопасности (UTM)

1. Введение
2. Функциональные возможности Ideco UTM
3. Системные требования Ideco UTM
   1. 3.1. Лицензирование Ideco UTM
4. Модельный ряд устройств Ideco UTM
5. Применение Ideco UTM
   1. 5.1. Новая отчётность по веб-трафику и трафику приложений
   2. 5.2. Новый конструктор отчётов
   3. 5.3. Новые отчёты по событиям IDS / IPS (дашборды)
   4. 5.4. Двухфакторная аутентификация VPN-пользователей
   5. 5.5. Динамическая маршрутизация BGP
6. Выводы

Введение

Российская компания «Айдеко» в условиях ухода с российского ИБ-рынка многих иностранных вендоров продолжает развитие своего продукта — межсетевого экрана Ideco UTM. Это уже 13-й релиз, который внутри компании шутя назвали «нечёртова дюжина».

Ранее мы делали обзор двенадцатой версии шлюза, опубликованный в апреле 2022 г. Тринадцатый релиз Ideco UTM опирается на новую платформу на базе ядра Linux 5.17, дополнен новыми функциями по безопасности и сопровождается улучшениями веб-интерфейса.

Функциональные возможности Ideco UTM

Межсетевой экран Ideco UTM обладает следующими особенностями и функциональными возможностями:

• Межсетевой экран — базовая функциональность сетевой фильтрации.
• Система предотвращения вторжений — предназначена для выявления и предотвращения вредной и потенциально опасной активности в защищаемой шлюзом сети. Осуществляются в том числе блокирование атак, DoS, шпионских программ, телеметрии Windows, криптомайнеров и командных центров ботнетов, предупреждение вирусной активности внутри сети, блокировка неблагонадёжных регионов по GeoIP и репутации IP-адресов.
• Контент-фильтр — осуществляет анализ посещаемых пользователем веб-ресурсов с целью предотвращения доступа к запрещённым или вредоносным страницам.
• Контроль приложений — обеспечивает определение используемых программ независимо от используемого сетевого порта на 7-м уровне модели OSI.
• Многоуровневая антивирусная и антиспам-проверка трафика внешними фильтрами от «Лаборатории Касперского» или ClamAV.
• VPN с поддержкой протоколов IKEv2/IPsec, SSTP, L2TP/IPsec, PPTP. 
• Удалённый доступ по VPN (Client-to-Site) с использованием современных протоколов: WireGuard (собственный VPN-агент под Windows), IKEv2/IPsec, SSTP, L2TP/IPsec. Имеется пользовательский портал с инструкцией, VPN-агентом, скриптом создания VPN-подключения. Авторизация пользователей осуществляется с помощью Active Directory.

Ideco UTM поддерживает интеграцию с системами мониторинга (Zabbix-агент, SNMP), с системами класса DLP (по ICAP), со службой активных каталогов Microsoft Active Directory и с облачным сервисом SkyDNS.

С выходом 13-й версии в продукте произошли существенные изменения. В частности, появились:

• обновлённая платформа на базе ядра Linux 5.17;
• новая отчётность по веб-трафику и трафику приложений (включая конструктор отчётов и указание полных URL в отчётах);
• отчёты по событиям IDS / IPS (дашборды);
• двухфакторная аутентификация пользователей VPN;
• динамическая маршрутизация BGP;
• новый агент авторизации и VPN (WireGuard);
• возможность подключения к центральной консоли и использования общих политик файрвола группой серверов;
• многочисленные улучшения веб-интерфейса.

Системные требования Ideco UTM

Ideco UTM может устанавливаться на физический сервер или виртуальную машину. Поддерживаются такие системы виртуализации, как VMware, Microsoft Hyper-V, VirtualBox, KVM, Citrix XenServer.

Для установки и работы Ideco UTM не требуется предустановленной ОС и дополнительного программного обеспечения. Ideco UTM устанавливается на выделенный сервер с загрузочного CD или USB-накопителя, при этом автоматически создаётся файловая система и устанавливаются все необходимые компоненты.

Минимальные требования для установки Ideco UTM приведены в таблице далее.

Таблица 1. Минимальные требования для установки Ideco UTM

Лицензирование Ideco UTM

У лицензии Ideco UTM есть три основные характеристики.

• Количество пользователей: одновременно авторизованные (подключённые к интернету) пользователи локальной сети клиента или VPN-подключения пользователей, трафик которых проверяется и контролируется шлюзом.
• Редакция Ideco UTM (SMB, Enterprise): набор доступных к использованию модулей в системе и особенности их работы.
• Срок действия лицензии: де-факто не ограничен в редакциях SMB и Enterprise (составляет 20 лет). По окончании срока действия лицензии отключаются авторизация пользователей и фильтрация трафика.

Техническая поддержка предоставляется в период действия подписки на сервис. Подписка включена в стоимость лицензии и действует в течение года с момента приобретения продукта. После окончания срока действия подписка может быть продлена на год и более.

Модельный ряд устройств Ideco UTM

«Айдеко» предлагает широкий ряд устройств Ideco UTM, начиная с модели для небольших предприятий и офисов и заканчивая моделью предназначенной для крупных корпораций. В линейке появились новые модели уровня Enterprise: Ideco LX+ и Ideco EX.

Таблица 2. Модельный ряд Ideco UTM

Технические характеристики	Модельный ряд аппаратных Ideco UTM
	Ideco SX+	Ideco MX Cert (сертифицирована ФСТЭК России)	Ideco MX	Ideco LX	Ideco LX+	Ideco EX
Назначение	Для небольших организаций численностью от 50 до 75 активных пользователей интернета	Сертифицированная аппаратная платформа для организаций численностью от 100 до 350 пользователей	Для средних предприятий (от 50 до 350 активных пользователей)	Для предприятий малого и среднего бизнеса численностью от 300 до 3000 активных пользователей интернета	Для предприятий малого и среднего бизнеса численностью от 1000 до 3000 активных пользователей интернета	Для крупных компаний численностью от 3000 активных пользователей интернета
Процессор	Intel Core i5-10210U (4 ядра, 1,6 ГГц)	Intel Atom C-3758 (8 ядер, 2,2 ГГц)	Intel Xeon E-2234 (4 ядра, 3,6 ГГц)	Intel Xeon E-2236 (6 ядер, 3,4 ГГц)	Intel Xeon Silver 4214R (12 ядер, 24 потока, 2,4 ГГц)	Intel Xeon Gold 6238R (28 ядер, 56 потоков, 2,2 / 4,0 ГГц)
Ёмкость устройства хранения данных	256 ГБ mSATA	240 ГБ SATA SSD	240 ГБ SATA SSD	240 ГБ SATA SSD	480 ГБ SATA SSD	480 ГБ SATA SSD
Объём оперативной памяти	16 ГБ SO-DIMM DDR4	16 ГБ DDR4	16 ГБ DDR4-2133 ECC	32 ГБ DDR4-2133 ECC	64 ГБ DDR4 ECC REG	64 ГБ DDR4 ECC REG
Сетевые интерфейсы	6 × i210 / i211	8 × 1 Гбит/с LAN	4 × 1 Гбит/с LAN	4 × 1 Гбит/с LAN	4 × 1 Гбит/с LAN, 4 × 10 Гбит/с SFP+	4 × 1 Гбит/с LAN, 4 × 10 Гбит/с SFP+
Формфактор	настольный	1U	1U	1U	2U	2U
Габариты (В × Ш × Г):	209 × 150 × 57 мм	438 × 321 × 44 мм	408 × 484 × 43 мм	408 × 484 × 43 мм	659 × 438 × 87 мм	659 × 438 × 87 мм

Применение Ideco UTM

Новая отчётность по веб-трафику и трафику приложений

В разделе «Трафик» администраторам предоставляется категорированная отчётность по использованию веб-ресурсов и трафику приложений. Здесь можно ознакомиться с информацией о проходящем через Ideco UTM трафике в режиме реального времени.

Раздел «Трафик» автоматически собирает статистику из контент-фильтра (категории и сайты) и контроля приложений (протоколы), сводя её в виджеты по умолчанию заданными фильтрами.

Рисунок 1. Раздел «Трафик» в Ideco UTM

Рисунок 2. Раздел «Трафик» в Ideco UTM

Как видно из примеров выше, существует несколько способов отображения информации: в виде круговых диаграмм и таблиц.

Каждый виджет содержит топ-5 объектов. На каждый объект можно нажать и перейти на страницу с виджетами, в которых статистика фильтруется по этому объекту.

Кроме того, есть также развёрнутый режим. Он содержит данные по всем объектам из топа, а для поиска по объектам можно воспользоваться фильтрами.

Рисунок 3. Развёрнутый режим просмотра статистики в разделе «Трафик» в Ideco UTM

Новый конструктор отчётов

В новой версии межсетевого экрана реализована возможность создавать шаблоны отчётов и настраивать их рассылку в формате PDF на электронную почту. 

Допустим, требуется настроить отправку отчёта с информацией о заблокированных сайтах по всем пользователям каждое первое число месяца. Для этого переходим в раздел «Мои шаблоны» и нажимаем кнопку «Добавить». Откроется меню настройки шаблона. Далее задаём промежуток (временной интервал, за который следует сформировать отчёт, из предложенных фильтров) и название отчёта, выбираем параметр «Всем пользователям» и добавляем виджет «Топ заблокированных сайтов».

Рисунок 4. Создание шаблона отчёта в Ideco UTM

Сохраняем шаблон и создаём на вкладке «Отчёты по расписанию» правило, согласно которому отчёты будут отправляться на электронную почту, путём добавления адресов получателей.

Новые отчёты по событиям IDS / IPS (дашборды)

События IDS / IPS можно фильтровать по дате и времени — например, установить временной интервал или воспользоваться одним из предустановленных фильтров.

Рисунок 5. События IDS / IPS в Ideco UTM

По умолчанию будут показаны события за сегодняшний день, если ни один временной фильтр не задан.

На дашборде вся собранная виджетами информация представлена подробно в виде таблицы внизу раздела. Можно найти идентификатор правила, которое сработало, и при необходимости создать исключение в IDS / IPS.

На текущий момент есть следующие виджеты:

• Количество атак по уровню угрозы.
• Топ пользователей по заблокированным запросам.
• Топ атакованных адресов.
• Топ атакующих адресов.
• Топ заблокированных типов атак.
• Топ атакующих стран.

Двухфакторная аутентификация VPN-пользователей

Теперь удостоверять личности пользователей VPN можно более надёжно. Если включить двухфакторную аутентификацию, то она будет применяться ко всем пользователям VPN, вне зависимости от наличия сохранённого номера телефона в карточке сотрудника.

Рисунок 6. Двухфакторная аутентификация в Ideco UTM

При переходе в браузер откроется страница для ввода кода.

Рисунок 7. Двухфакторная аутентификация в Ideco UTM

При нажатии на кнопку «Отправить код подтверждения» на указанный в карточке пользователя номер телефона поступает звонок; последние четыре цифры номера, с которого осуществляется вызов, являются кодом.

Рисунок 8. Двухфакторная аутентификация в Ideco UTM

Динамическая маршрутизация BGP

В Ideco UTM 13 реализована поддержка протокола динамической маршрутизации BGP (Border Gateway Protocol), который используется в интернете для обмена доступной информацией о маршрутизации между автономными сетями (AS), построения путей распространения между доменами AS, предотвращения петель маршрутизации и применения некоторых стратегий маршрутизации на уровне AS.

Рисунок 9. Раздел «BGP» в Ideco UTM

Для настройки своей автономной системы необходимо ввести номер AS и активировать BGP.

Рисунок 10. Пример настройки AS в Ideco UTM

Можно также выполнить настройку BGP-соседа, заполнив соответствующие поля (рис. 11).

Рисунок 11. Пример настройки BGP-соседа в Ideco UTM

Теперь Ideco UTM можно использовать в качестве маршрутизатора в больших сетях.

Выводы

Ideco UTM — российский универсальный шлюз безопасности, обладающий хорошими техническими характеристиками и большим числом функциональных возможностей. Ideco UTM соответствует концепции NGFW, он может быть установлен как единственное устройство и выполнять все необходимые функции защиты — межсетевое экранирование, обнаружение вторжений, VPN-подключение, веб-проксирование и т. п. 

С каждым выходом очередного релиза Ideco UTM приближается к уровню зарубежных NGFW. Основная особенность выпуска 13 — это новая отчётность: улучшенная визуализация данных по веб-трафику и трафику приложений, отчёты по событиям IDS / IPS в виде дашбордов. Также появился конструктор отчётов.

В новой версии реализована поддержка протокола динамической маршрутизации BGP (Border Gateway Protocol), который используется в интернете. Благодаря этому Ideco UTM можно использовать в качестве маршрутизатора в больших сетях.

В модельном ряду появились две новые платформы: Ideco LX+ (1000–3000 активных пользователей интернета) и Ideco EX (от 3000 активных пользователей интернета).

Таким образом, Ideco UTM становится достойной заменой зарубежным NGFW, что особенно актуально в связи со сложившейся международной обстановкой.

Отметим, что есть также версия Ideco UTM, которая сертифицирована ФСТЭК России на соответствие требованиям четвёртого уровня доверия по профилям защиты межсетевых экранов типа «А» четвёртого класса защиты (ИТ.МЭ.А4.ПЗ), межсетевых экранов типа «Б» четвёртого класса защиты (ИТ.МЭ.Б4.ПЗ) и систем обнаружения вторжений уровня сети четвёртого класса защиты (ИТ.СОВ.С5.ПЗ) (сертификат ФСТЭК России № 4503). Наличие сертификата даёт возможность использовать Ideco UTM в составе систем защиты, где применение сертифицированных продуктов обязательно.

К недостаткам Ideco UTM можно отнести отсутствие поддержки российских криптографических алгоритмов ГОСТ 28147-89 VPN-сервером шлюза и, как следствие, отсутствие сертификатов по требованиям безопасности ФСБ России. Это может являться существенным ограничением при использовании продукта в качестве средства построения VPN-сетей в организациях государственного сектора.

Если рассматривать самостоятельную инсталляцию комплекса, то системное требование к наличию UEFI накладывает дополнительные ограничения на выбор «железа».

Достоинства:

• Комплексное российское решение по сетевой безопасности (межсетевой экран, система обнаружения вторжений, потоковый антивирус, VPN-сервис).
• Широкая линейка аппаратных устройств, охватывающая сегменты SOHO, SMB и Enterprise, возможность поставки в виде виртуального устройства.
• Наличие сертифицированной ФСТЭК России версии.
• Возможность создания кластера из двух нод для отказоустойчивой конфигурации.
• Возможность самостоятельно оценить качество настроек фильтрации с помощью сервиса Security Ideco.
• Интуитивный русскоязычный веб-интерфейс администрирования.
• Широкие возможности в области отчётности, включая конструктор отчётов.
• Поддерживается протокол динамической маршрутизации BGP.
• Двухфакторная авторизация для VPN (FlashCall).

Недостатки:

• Отсутствие поддержки российских криптографических алгоритмов ГОСТ 28147-89 VPN-сервером шлюза и, как следствие, отсутствие сертификатов по требованиям безопасности ФСБ России.
• Отсутствует возможность создания временных пользователей (данная функция может быть полезна для публичных сетей Wi-Fi, где необходимо идентифицировать пользователей и предоставить им доступ на ограниченное время).
• Системное требование к наличию UEFI накладывает дополнительные ограничения на выбор аппаратного обеспечения.