Обзор Ideco UTM 15, отечественного шлюза безопасности класса NGFW

[AM_Bot 48]

Ideco UTM (Unified Threat Management) — это комплексная система безопасности (российский межсетевой экран), предназначенная для защиты информационных ресурсов и сетей организаций от различных угроз и атак. Узнайте, что нового в свежей версии 15.      ВведениеФункциональные возможности Udeco UTM 15Архитектура Ideco UTM 15Новые возможности Ideco UTM 15Системные требования Ideco UTM 15Основные направления применения Ideco UTM 15ВыводыВведениеВ июле 2023 года компания «Айдеко» анонсировала релиз межсетевого экрана Ideco UTM 15. Ранее, в 2022 году, мы делали обзор предыдущей версии этого продукта. Сейчас в основе Ideco UTM лежит концепция объединения нескольких функций безопасности в одной системе. Это позволяет организациям контролировать различные аспекты защиты с помощью целостного интегрированного решения.Разработчик продолжает поддержку версии 14, забрав часть новых функций в 15-ю версию, и, наоборот, часть возможностей версии 15 будут интегрированы в 14-ю для более плавного обновления у заказчиков. Поддержка Ideco UTM 12.11 закончилась 20 июня, а версия 13.12 будет поддерживаться до 6 ноября 2023 года; в связи с этим компания рекомендует всем, кто ещё не перешёл на 14-ю версию, сделать это и далее провести плавное обновление на версию 15 по факту её выхода в 2023 году.Функциональные возможности Udeco UTM 15Назовём некоторые из основных функций и возможностей Ideco UTM. Рисунок 1. Основные возможности Ideco UTM 15 Межсетевой экран. Обеспечивает контроль и фильтрацию сетевого трафика на основе правил. Может блокировать нежелательный трафик и предотвращать несанкционированный доступ к сети. Также предоставляет защиту для корпоративных внутренних и внешних сетей, обеспечивая безопасную связь и контроль доступа к ресурсам организации.Антивирусная защита. Обнаруживает и блокирует вирусные, троянские, шпионские программы и другие подобные угрозы. В версии 15 появилась возможность интеграции сигнатур от «Лаборатории Касперского». Стандартная проверка осуществляется с помощью антивируса ClamAV.VPN (виртуальная частная сеть). Позволяет создавать защищённые соединения через общедоступные сети, обеспечивая конфиденциальность и целостность данных при передаче между удалёнными местоположениями. Есть собственный VPN-агент.Защита от DDoS-атак. Помогает предотвращать и смягчать атаки типа «отказ в обслуживании» (DDoS) путём мониторинга трафика и применения различных методов противодействия.Веб-фильтрация. Обеспечивает фильтрацию веб-содержимого для контроля доступа к определённым сайтам или категориям веб-ресурсов. Может быть использована для повышения производительности сети и предотвращения доступа к вредоносным или нежелательным ресурсам. Контент-фильтр охватывает 145 категорий сайтов, от развлекательных до фишинговых.Контроль приложений. Возможен запрет торрентов, онлайн-игр, криптомайнеров (в общей сложности — более 250 приложений).Контроль на уровне L7. Осуществляется контроль веб-трафика в отношении доступа к облачным хранилищам, соцсетям и форумам. Есть возможность задать определённый набор действий: к примеру, запретить выгрузку данных, но разрешить их загрузку в сеть организации.IPS / IDS (обнаружение и предотвращение вторжений). Можно настроить сигнатурный анализ веб-трафика на предмет сетевых атак, в том числе исходящих от вредоносных ботов, с последующей блокировкой.Почтовый релей (промежуточный узел). Сервер Ideco UTM 15 можно использовать в качестве первого рубежа защиты почтового трафика. Доступны все функции фильтрации писем, включая многоуровневую проверку на вирусы, спам и фишинговые ссылки. Применяются базы от «Лаборатории Касперского».Журналирование и мониторинг. События регистрируются и анализируются в настоящем времени. Это помогает выявлять потенциальные угрозы, обнаруживать аномалии и проводить аудит безопасности. В версии 15 появилась возможность логировать действия администраторов системы.Отчётность. Составление разовой или плановой отчётности по использованию трафика, веб-атакам и прочей статистике.Архитектура Ideco UTM 15Ideco UTM 15 является масштабируемой системой, которая может быть настроена и адаптирована под конкретные требования. Если у вас распределённая филиальная сеть, вы можете использовать консоль Ideco CENTER для централизованного управления настройками нескольких межсетевых экранов Ideco UTM.Продукт динамически развивается в ответ на внешние факторы, такие как пандемия или уход иностранных вендоров. Дополнительный акцент делается на эффективной и быстрой техподдержке и умеренной ценовой политике.Помимо основной линии разработки компания ведёт альтернативную — с использованием DPDK / VPP для маршрутизации и обработки трафика в пользовательском пространстве и освобождения сетевого стека ядра. В дальнейшем эта технология должна стать основной. Также предполагается развитие следующих прогрессивных направлений:протокол DPDK / VPP — увеличение скорости передачи данных;межсетевой экран на основе технологии eBPF — возможность работы со 100 000 правил на скорости до 20 Гбит/с;аутентификация посредством «КриптоПро NGate»;разработка ПАК Ideco UTM на 96-ядерных процессорах.Новые возможности Ideco UTM 15В Ideco UTM 15 появились следующие изменения и дополнения:Обновлённая платформа на базе ядра Linux 6.0.5.Балансировка трафика на несколько серверов с помощью обратного проксирования (reverse proxy).Обработка мультикаст-трафика (IGMP proxy), трафика WCCP (Web Cache Communication Protocol) L2 / L3.Интеграция с Aladdin ALD Pro и BaseALT (ранее — Alt Linux).Взаимодействие с сервисом «Мультифактор» для обеспечения двухфакторной аутентификации.Обработка NTP-запросов ко внешним серверам.Ускорение обработки трафика модулями глубокой инспекции (DPI) во многоядерных конфигурациях.Отрицание в правилах файрвола: например, теперь вместо пары правил «Россию разрешить» и «все остальные страны запретить» можно сделать одно правило вида «всё, что не Россия, запретить».За счёт перехода на новую СУБД ClickHouse удалось значительно сократить размер журналов событий.Выгрузка отчётов из раздела «Трафик» в формате CSV.Рисунок 2. Примеры крупных нововведений Ideco UTM 15 Обозначим отдельно улучшения по части информационной безопасности:Сигнатуры для антивируса и IPS от «Лаборатории Касперского» (дополнительные опции, тарифицируются отдельно).Аудит действий администраторов.Обновлён модуль системы предотвращения вторжений (повышены производительность и надёжность определения трафика).Добавлены правила безопасности по GeoIP и по спискам НКЦКИ.В контроль приложений добавлены протоколы ADSAnalytic (рекламные трекеры), AdultContent (сервисы распространения порнографии), SRTP. Улучшено определение приложений.Системные требования Ideco UTM 15Ideco UTM распространяется как виртуальное устройство или программно-аппаратный комплекс. Требования к аппаратному обеспечению варьируются в зависимости от сетевой нагрузки и используемых сервисов. Минимальные требования Ideco UTM приведены в таблице ниже. Таблица 1. Минимальные рекомендованные требования для установки Ideco UTM 15 в виде отдельного виртуального устройстваТехнические характеристикиТребованияЦПIntel i3 / i5 / i7 / i9 / Xeon с поддержкой SSE 4.2Дисковое пространствоSSD, 150 ГБ или больше, с интерфейсом SATA, mSATA, SAS, NVMe. При использовании почтового сервера нужен дополнительный SSDОЗУОт 16 ГБСетевые адаптерыДве сетевые карты (или два сетевых порта) 100 / 1000 Мбит/с. Рекомендуется использовать карты на чипах Intel. Поддерживаются Realtek, D-Link и другиеГипервизорVMware, Microsoft Hyper-V (2-го поколения), VirtualBox, KVM, Citrix XenServerДополнительноОбязательна поддержка UEFI. Не поддерживаются программные RAID-контроллеры (интегрированные в чипсет). Для виртуальных машин необходимо использовать фиксированный, а не динамический размер жёсткого диска Для установки и работы продукта не требуется предустановленной ОС и дополнительного ПО. Ideco UTM устанавливается на выделенный сервер с загрузочного образа, компакт-диска или USB-накопителя, при этом автоматически создаётся файловая система и устанавливаются все необходимые компоненты.Основные направления применения Ideco UTM 15Если ранее система рассматривалась на рынке в большей степени как продукт для небольших компаний (до 1000 сотрудников), то теперь есть примеры развёртывания на крупных площадках (5000–10000 работников) и интеграции с иными СЗИ. Имеется комплекс модулей для защиты периметра и полноценного функционирования в качестве NGFW. Система готова работать «из коробки», предлагается множество предустановленных правил фильтрации.Покажем нововведения Ideco UTM 15 на иллюстрациях. Начнём с логирования действий системных администраторов. Рисунок 3. Журнал логирования действий системных администраторов В новой версии появилось меню онлайн-проверки подозрительных доменов и IP-адресов. Рисунок 4. Меню проверки доменов Реализована поддержка протокола WCCP. Рисунок 5. Настройка работы с протоколом WCCP Добавлена возможность обработки IGMP-трафика. Рисунок 6. Проброс мультикаст-трафика ВыводыМежсетевой экран Ideco UTM 15 может по праву называться полноценной системой класса NGFW, поскольку в нём реализован целый ряд функций безопасности: межсетевой экран, контентная фильтрация, модуль предотвращения вторжений, антивирусная защита и т. д. Система продолжает развиваться, на выпуск новой версии производителю понадобилось лишь 100 дней. Компания «Айдеко» старается поддерживать возможности своего программного продукта в актуальном состоянии, чтобы отвечать новым требованиям рынка и глобальным угрозам информационной безопасности.

Читать далее