Спецпроекты

Безопасность

Рынок ИБ захватили UTM-системы: что они дают бизнесу

Межсетевые экраны (файрволы) остаются фундаментальным средством защиты, помогающим противостоять меняющимся угрозам. Их производители продолжают разработку методов, нацеленных на выявление и предотвращение атак, а также блокирование нежелательного сетевого трафика. К функциям контекстной фильтрации с учетом состояния добавляются возможности глубокого анализа трафика и идентификации приложений. Для защиты веб-приложений становятся обязательными межсетевые экраны прикладного уровня (Web Application Firewall).

Эволюция разрозненных решений идет в направлении систем комплексной безопасности. Одно из проявлений данной тенденции — выпуск унифицированных устройств (Unified Threat Management, UTM). По существу, современные межсетевые экраны (NGFW) — это комплексные системы UTM, в которых объединены наиболее востребованные функции: межсетевое экранирование, предотвращение вторжений, защищенный удаленный доступ (VPN), антивирусы, фильтрация сети, мониторинг и оптимизация трафика, а нередко — и дополнительные средства.

Ничего лишнего

Один из представителей классических UTM — Ideco UTM 10.0, новейшее программное решение от независимых разработчиков из Екатеринбурга, которое используют более 4 тыс. компаний. Большая часть сложных параметров (например, типов шифрования VPN-каналов, параметров интеграции с Microsoft Active Directory, настроек системных правил межсетевого экрана) — скрыта «под капотом». Отсюда — уникальная простота настройки, что очень важно для такого комплексного и многофункционального решения. Администратор может задействовать нужные функции буквально в один-два клика, а основные настройки заданы уже «из коробки».

Поскольку, в отличие от большинства UTM/NGFW, продаваемых в виде аппаратных шлюзов, это решение — программное, его можно установить на любой современный сервер x86-64 или под любой гипервизор без привязки лицензии к железу. Впрочем, у компании «Айдеко» есть и аппаратная версия продукта — Ideco SX+.

Основные функции Ideco UTM

Межсетевой экран Базовая защита и управление трафиком
Контроль приложений Управление доступом в интернет 250 популярных приложений без установки агентов
Контент-фильтр Запрет доступа к любой из 144 категорий сайтов
Анти-бот Блокирование попыток обращения к командным центрам ботнетов и серверам удаленного управления
Предотвращение вторжений Защита от хакерских атак, вирусной активности внутри сети, эксплойтов, попыток подбора паролей к сервисам и обхода правил контентной фильтрации (блокировка анонимайзеров)
VPN VPN-сервер с поддержкой протоколов IKEv2/IPSec, SSTP, L2TP/IPSec, VPN-агент под Windows с поддержкой протокола Wireguard
Контроль доступа Авторизация пользователей по локальной базе и Active Directory (Kerberos, NTLM, логи безопасности контроллеров домена)
Шлюз/прокси-сервер Гибкие сценарии интеграции
Поддержка гипервизоров VMware, Microsoft Hyper-V, VirtualBox, KVM, Citrix XenServer
Контроль приложений (DPI) Блокирование трафика посторонних программ
Антивирус Проверка почтового трафика (в том числе на спам и фишинговые ссылки) и веб-трафика (по технологии Касперского)

Ideco UTM также функционирует как Web Application Firewall и почтовый релей. Продукт можно интегрировать со сторонними системами мониторинга (Zabbix-агент, SNMP), DLP (по ICAP) и Microsoft Active Directory. WAF защищает опубликованные веб-приложения от сканирования на уязвимости, SQLi, XSS, DoS и других атак. Публикация почтового сервера через почтовый релей защитит сервер от DoS-атак, подбора паролей и спама.

Продукт отличают быстрая интеграция и преднастройки безопасности. Он вполне подойдет для защиты локальной сети от современных угроз безопасности и включает в себя все основные модули управления трафиком: сам файрвол, модуль контроля приложений (где можно запретить торренты, TeamView, онлайн-игры и т.д.), предотвращение вторжений, контент-фильтр, функции управления полосой пропускания, назначения квот трафика.

Простота использования

Для перехода на Ideco UTM с устаревших решений (Microsoft TMG, самостоятельных сборок Linux/FreeBSD/Squid, шлюзов на Windows, простых файрволов, вроде Mikrotik) не требуется много времени, оборудования и специальных знаний системного администратора. Для работы с продуктом достаточно базовых навыков администрирования сетевого оборудования, многие модули Ideco UTM запускаются уже настроенными.

Простой интерфейс Ideco UTM, техподдержка на портале «Айдеко», по телефону, электронной почте или в интерфейсе программы помогают начать работать с системой даже тем, у кого за плечами не очень много опыта. К тому же, всегда есть, что почитать и посмотреть: документация по каждому модулю, текстовый и видеоблог.

Это единственное UTM-решение с чатом техподдержки прямо в интерфейсе и ответами в течение 1-2 минут. У большинства подобных решений корпоративного уровня ответа, согласно SLA, придется ждать как минимум несколько часов.

Пользователи активно участвуют в развитии продукта, публикуют свои предложения в чате Telegram. И разработчики к ним прислушиваются. Не случайно «Айдеко» — чемпион среди российских межсетевых экранов по выпуску новых релизов. Компания планирует раз в 3 месяца выпускать новую версию своего продукта. 16 июля 2021 г. вышел релиз Ideco UTM 10.0 на ядре Linux 5.11.

Что нового?

Одно из главных нововведений — улучшенная работа с группами безопасности Active Directory. Ранее можно было импортировать LDAP-группы или группы безопасности в дерево пользователя, но при импорте нескольких групп безопасности, когда один и тот же пользователь находился в нескольких группах, возникала проблема. Нельзя было полноценно составлять правила контентной фильтрации или файрвола для групп безопасности, чтобы они наследовались, то есть полностью управлять доступом в интернет через группы с помощью настроек Active Directory, не заходя в интерфейс Ideco UTM.

В новой версии все группы безопасности Active Directory доступны в виде объектов, то есть можно легко создать в них правила. Они применяются без разлогинивания пользователей, то есть можно сразу управлять доступом. Если создать структуру групп безопасности Active Directory и правила фильтрации, то можно управлять ими, не заходя в интерфейс Ideco UTM и не сбрасывая настройки.

:
В Ideco UTM 10.0 все группы безопасности Active Directory доступны в виде объектов. Правила применяются без разлогинивания пользователей, не нужны дополнительные настройки

При установке UTM системные группы и группы безопасности сразу появятся в интерфейсе и их можно использовать в модулях контроля приложений, контент-фильтре, применять для ограничения скорости трафика и т.д., что достаточно удобно.

Полезная функция — мониторинг трафика в реальном времени. Он позволяет узнать, кем и чем загружен интернет-канал, с каких именно узлов локальной сети (по IP-адресам или пользователям), сколько сессий активно, какая скорость входящего и исходящего трафика. Эту информацию можно фильтровать по пакетам, посмотреть по протоколам, заданным в модуле контроля приложений. В будущих версиях появится возможность непосредственно из монитора трафика разрывать сессии либо создавать правила их блокировки.

Для чего это нужно?

По данным компании «Айдеко», до 40% трафика корпоративных сетей составляет «мусорный» трафик: торренты и развлекательные сайты, интернет-реклама. С удаленным доступом, когда сотрудники пользуются какими-либо онлайн-играми, стриминговыми и видеосервисами, способными легко загрузить даже самый широкий канал, проблема еще более усугубляется.

В одной из следующих версий также появится отчетность с данными по использованию приложений. Уже в этой версии есть отчеты по авторизации пользователей. Можно посмотреть, сколько времени сотрудник работал по VPN или когда он авторизовался в корпоративной сети. Это помогает контролировать работу удаленных сотрудников и тех, кто трудится в офисе.

Мощный VPN-сервер

Сейчас система поддерживает пять разных протоколов VPN, включая такие современные, как Alpha 2 и WireGuard с высокой скоростью передачи данных. WireGuard с шифрованием в ядре гораздо производительнее OpenVPN и проще IPSec в настройке. Именно этот самый современный, быстрый и безопасный протокол в Ideco UTM использует VPN-клиент под Windows.

VPN-сервер Ideco UTM для удаленного доступа сотрудников в сеть включает поддержку протоколов IKEv2/IPSec (быстрого, безопасного и поддерживаемого современными ОС), L2TP/IPSec (для совместимости со старыми ОС), SSTP (работающего по TCP, что позволяет «пробить» канал даже от самых ненадежных провайдеров), PPTP (для совместимости со старыми ОС и оборудованием).

Что касается настройки VPN, то она не должна вызывать затруднений. Например, при настройке IKEv2/IPSec для получения готового VPN-сервера с максимально безопасным шифрованием и подтверждением подлинности сервера через сертификат LetsEncript достаточно включить IKEv2, установив флажок, и указать домен.

Организовать удаленный доступ по VPN также поможет пользовательский портал с инструкцией и скриптом создания VPN-подключения, авторизация пользователей с помощью Active Directory и автоматическое получение сертификатов Let’s Encrypt для доменов. Можно создать сеть VPN с роутерами Mikrotik, Keenetik и многими другими с поддержкой IPSec.

В 10-й версии есть собственный VPN-агент. Он упрощает настройку VPN и предусматривает автоматическое переподключение при проблемах с доступом в интернет, автоматическое разворачивание клиентов и автоматическое обновление версии агента, который, конечно, будет дополняться новыми функциями.

Еще одно совершенствование версии 10 — улучшенная маршрутизация. Работа с нею стала проще и понятнее, появились отдельные вкладки для маршрутов локальных и внешних сетей, решена проблема DNAT за роутером. В планах — поддержка протоколов динамической маршрутизации, таких как BGP.

В DNS-сервере возвращена возможность создания мастер-зон: для управления DNS зонами гораздо проще безопаснее и надежнее использовать внешний DNS-хостинг. Но мастер-зоны не стоит применять в качестве файрвола.

Интерфейс администратора

Существенно обновился веб-интерфейс администратора. Здесь появилась панель общего мониторинга, где можно посмотреть главную информацию: какие включены правила, какова загрузка сервера, сведения о лицензии и т.д. Объекты можно создавать непосредственно из правил фильтрации. Разработчики планируют создание интерфейса администрирования для мобильных устройств.

:
В интерфейсе администратора обновились графики загруженности компонентов системы. Для их отображения теперь используются новые технологии

В числе других изменений — увеличение скорости обработки трафика, добавление в Telegram-бот оповещений о новых типах событий на сервере, интерфейс на английском языке. Однако многие изменения остались «за кадром». Например, скоро появится возможность работа UTM в кластере «active-active».

Что дальше?

Теперь коснемся некоторых анонсов версии 11, которая должна выйти уже этим летом. В ней будет поддерживаться кластер отказоустойчивости с соединением узлов по выделенному каналу (хотя и с некоторыми ограничениями), предусмотрены отчеты системы предотвращения вторжений с разными вариантами фильтрации, а в дальнейшем — с графическим представлением.

Тем временем уже идет работа и над версией 12. В ней планируется реализовать новую систему авторизации пользователей: авторизацию сети, по MAC-адресам, а также доступ к разрешенным ресурсам без авторизации. Появятся новые отчеты по трафику приложений, включая конструктор отчетов. Ожидается дальнейшее улучшение производительности и системы обработки трафика. В отличие от 10-й и 11-й версий, базирующихся на операционной системе Fedora 33 (с использованием IP Tables), в основу Ideco UTM 12 ляжет Fedora 34. Версия 12 должна увидеть свет в 2021 г.

В планах также сертификация ФСТЭК (версии без антивируса), которая уже завершается, поддержка IPv6, возможность доступа к интернет-ресурсам без авторизации (для Office 365), задание разных типов авторизации для разных групп пользователей. В целом система станет еще быстрее, мощнее, надежнее.

Разработчики продолжают развивать свой продукт, добавляя в него новые функции безопасности, делая веб-интерфейс еще более удобным и интуитивно понятным. А гибкая схема лицензирования позволяет заказчику выбрать оптимальную защиту для своей сети.

Сергей Орлов

Короткая ссылка