Обзор Ideco UTM 10, универсального шлюза безопасности (Unified Threat Management)

Обзор Ideco UTM 10, универсального шлюза безопасности


Обзор Ideco UTM 10, универсального шлюза безопасности

15 июля 2021 года вышла новая версия универсального шлюза безопасности Ideco UTM российской компании «Айдеко» под девизом «Покоряем космос». Это уже 10-й релиз Ideco UTM, доработанный и дополненный новыми функциями безопасности. Впервые анонсирован собственный VPN-агент, улучшена работа с группами безопасности Active Directory, доработаны мониторинг, журналирование, веб-интерфейс и многое другое.

Сертификат AM Test Lab

Номер сертификата: 346

Дата выдачи: 14.08.2021

Срок действия: 14.08.2026

Реестр сертифицированных продуктов »

 

  1. Введение
  2. Функциональные возможности Ideco UTM 10
  3. Системные требования Ideco UTM 10
  4. Сценарии использования Ideco UTM 10
    1. 4.1. Панель мониторинга
    2. 4.2. Управление пользователями
    3. 4.3. Мониторинг активности пользователей
    4. 4.4. Межсетевое экранирование
    5. 4.5. Контроль приложений
    6. 4.6. Контент-фильтрация
    7. 4.7. Ограничение скорости входящего интернет-трафика и квоты
    8. 4.8. Антивирусная фильтрация
    9. 4.9. Система предотвращения вторжений
    10. 4.10. Управление сервером Ideco UTM
    11. 4.11. Система отчётов
    12. 4.12. Ideco VPN
    13. 4.13. Почтовый релей
  5. Выводы

Введение

Универсальные шлюзы сетевой безопасности (Unified Threat Management, UTM) являются логическим развитием межсетевых экранов и предназначены для предоставления комплексной защиты от сетевых угроз. Как правило, классический шлюз безопасности включает в себя следующий набор компонентов, которые изначально разрабатывались как отдельные, самостоятельные решения:

  • межсетевой экран;
  • система предотвращения вторжений (IPS);
  • система управления сетевым трафиком и пропускной способностью;
  • система предотвращения утечек информации (DLP);
  • антивирусная фильтрация, антиспам и антишпион;
  • контентная фильтрация веб-трафика;
  • VPN.

Основным преимуществом UTM-решений для пользователей является предоставление набора готовых функций безопасности от одного производителя. Это позволяет сократить издержки на внедрение и администрирование, поскольку все функции управляются через единую консоль.

Российская компания «Айдеко» занимается разработкой и модернизацией своего UTM-решения с 2005 года (ранее продукт носил название Ideco ICS). В середине лета 2021 года вышла версия Ideco UTM 10. Исторически релизы Ideco UTM выходят раз в квартал, однако 10-я версия заняла у разработчика больше времени за счёт реализации большого числа заданий и исправлений. В итоге перед нами новая платформа с обновлёнными ядром и пакетной базой.

Выход Ideco UTM 10 не прекратил функционирования и поддержки 9-й версии. Это было предусмотрено для постепенного перехода на новую версию продукта, но, как мы уже привыкли, «Айдеко» сразу начала подготовку к выходу новой, 11-й версии, в которой, как заявляет разработчик, впервые появятся кластер отказоустойчивости и новая система отчётности по событиям IPS.

Ideco UTM зарегистрирован в едином реестре российских программ для электронных вычислительных машин и баз данных (реестр Минцифры) под № 329 от 08 апреля 2016 года, что подтверждает его соответствие требованиям ПП-1236.

В настоящий момент решение проходит сертификацию в системе ФСТЭК России на соответствие требованиям к межсетевым экранам по классам А4 / Б4 (соответствует профилям защиты ИТ.МЭ.А4.ПЗ и ИТ.МЭ.Б4.ПЗ), к системам обнаружения вторжений уровня сети четвёртого класса защиты (ИТ.СОВ.С4.ПЗ) и четвёртому уровню доверия (УД4).

Функциональные возможности Ideco UTM 10

Ideco UTM 10 основан на ядре Linux 5.11. В этой версии обновлены все системные пакеты и драйверы, увеличена производительность.

В новую версию Ideco UTM добавлены следующие функциональные возможности:

  • Улучшенная работа с группами безопасности Active Directory — теперь все группы доступны в виде объектов, автоматически генерируемых в интерфейсе администратора при вводе Ideco UTM в домен. Правила управления группами безопасности теперь применяются без выхода пользователя из системы.
  • Новая реализация модуля мониторинга трафика реального времени. Ideco UTM 10 позволяет определить, кем и каким трафиком загружен канал.
  • Улучшенная отчётность: в частности, появилась генерация отчётов по авторизациям пользователей. Фиксируются как внутрисетевые авторизации, так и выполненные по VPN.
  • Собственный VPN-агент.
  • Улучшенная и упрощённая маршрутизация. Добавлен механизм DNAT для переадресации на внутренние ресурсы. Динамическая маршрутизация пока не поддерживается, однако её внедрение планируется в более поздних версиях Ideco UTM.
  • Мастер-зоны в DNS-сервере возвращены в Ideco UTM по просьбам пользователей.
  • Доработанный веб-интерфейс администратора: появилась панель общего мониторинга, содержащая основную информацию по серверу, фильтрации и т. д., добавлены новые графики загруженности. Кроме того, в новой версии впервые доступен веб-интерфейс на английском языке, далее планируется выпуск веб-интерфейса для мобильных устройств.
  • Повышенное удобство создания правил фильтрации за счёт автоматического создания объектов.
  • Повышенная скорость обработки трафика.
  • Оповещение администратора через телеграм-бот о новых типах событий на сервере.

Кроме перечисленного Ideco UTM предоставляет пользователям систему предотвращения вторжений, контентную фильтрацию, контроль приложений, антивирусную проверку почтового и веб-трафика с технологиями «Лаборатории Касперского» и прокси-сервер.

Системные требования Ideco UTM 10

Ideco UTM устанавливается на выделенный сервер или виртуальную машину с загрузочного диска или USB-накопителя, при этом не требуется дополнительного ПО, установка компонентов и создание файловой системы происходят автоматически. Для корректного функционирования Ideco UTM необходимы следующие технические характеристики аппаратуры (табл. 1).

 

Таблица 1. Аппаратные требования Ideco UTM 10

Модель процессораIntel Pentium G / i3 / i5 / i7 / Xeon E3 / Xeon E5 с поддержкой SSE 4.2
Объём оперативной памяти8 / 16 ГБ в зависимости от количества поддерживаемых пользователей
Дисковое пространство64 ГБ или больше, HDD / SSD с поддержкой интерфейса SATA / mSATA / SAS или совместимый аппаратный RAID. Требуется дополнительный HDD / SSD при использовании почтового сервера
Сетевые интерфейсы100/1000 Мбит/с ×2. Рекомендуется использовать карты на чипах Intel, Broadcom (Realtek, D-Link и другие)
Прочие требованияОбязательна поддержка UEFI (Unified Extensible Firmware Interface)
ГипервизорыVMware, Microsoft Hyper-V (2-го поколения), VirtualBox, KVM, Citrix XenServer

 

Ideco UTM является программным решением, устанавливаемым на серверы заказчика, однако для удобства пользователей производитель предусмотрел вариант поставки Ideco UTM в виде аппаратных шлюзов, отличающихся по производительности и техническим характеристикам.

 

Таблица 2. Характеристики аппаратных шлюзов Ideco UTM

Ideco SX+
Модель процессораIntel Core i5-10210U (4 ядра, 1,6 ГГц, 6 MБ кеш-памяти)
Объём оперативной памяти16 ГБ SO-DIMM DDR4
Дисковое пространство120 ГБ SATA SSD
Количество пользователейОт 50 до 75 активных пользователей
ПотребителиНебольшие предприятия
Ideco MX
Модель процессораIntel Xeon E-2234 (4 ядра, 3,6 ГГц, 8 MБ кеш-памяти)
Объём оперативной памяти16 ГБ DDR4-2133 ECC
Дисковое пространство240 ГБ SATA SSD
Форм-фактор1U
Количество пользователейОт 50 до 350 активных пользователей
ПотребителиСредние предприятия
Ideco LX
Модель процессораIntel Xeon E-2236 (6 ядер, 3,4 ГГц, 12 MБ кеш-памяти, 8 ГТ/с)
Объём оперативной памяти32 ГБ DDR4-2133 ECC
Дисковое пространство240 ГБ SATA SSD
Форм-фактор1U
Количество пользователейОт 300 до 3000 активных пользователей
ПотребителиКрупные предприятия

 

Сценарии использования Ideco UTM 10

Рассмотрим возможности Ideco UTM 10 подробнее.

Панель мониторинга

В новой версии Ideco UTM веб-интерфейс оснащён новым разделом — панелью мониторинга. Панель отображает администратору информацию о загрузке сервера, времени его работы и температуре. Для удобства пользователя на панель вынесено управление модулями фильтрации для их отключения и быстрого перехода в соответствующий раздел.

 

Рисунок 1. Веб-интерфейс Ideco UTM. Панель мониторинга

Веб-интерфейс Ideco UTM. Панель мониторинга

 

Управление пользователями

Учётные записи пользователей отображаются в виде дерева, допускается объединять пользователей в группы. Параметры родительской группы автоматически наследуются.

 

Рисунок 2. Раздел «Пользователи» веб-интерфейса Ideco UTM, вкладка «Учётные записи». В правой части страницы отображены параметры группы «Бухгалтерия»

Раздел «Пользователи» веб-интерфейса Ideco UTM, вкладка «Учётные записи». В правой части страницы отображены параметры группы «Бухгалтерия»

 

Цветовая индикация напротив учётных записей пользователей информирует администратора об авторизованных в данный момент пользователях и их доступе в сеть «Интернет».

 

Рисунок 3. Форма создания нового пользователя в веб-интерфейсе Ideco UTM

Форма создания нового пользователя в веб-интерфейсе Ideco UTM

 

Ideco UTM поддерживает авторизации на основе IP-адреса (динамические, веб, Kerberos / NTLM, AD, VPN). Одновременно для одной учётной записи пользователя возможна авторизация с трёх разных устройств.

 

Рисунок 4. Раздел «Пользователи» веб-интерфейса Ideco UTM, вкладка «Учётные записи». Разрешение авторизации для пользователя по IP-адресу

Раздел «Пользователи» веб-интерфейса Ideco UTM, вкладка «Учётные записи». Разрешение авторизации для пользователя по IP-адресу

 

Рисунок 5. Раздел «Пользователи» веб-интерфейса Ideco UTM, вкладка «Авторизация». Параметры для разных типов авторизаций

Раздел «Пользователи» веб-интерфейса Ideco UTM, вкладка «Авторизация». Параметры для разных типов авторизаций

 

Ideco UTM поддерживает авторизацию пользователей через Ideco Agent, контролирующий доступ пользователей в сеть «Интернет». Доступ предоставляется только в случае когда пользователь авторизован через агент.

Любой запрос неавторизованного пользователя через веб-браузер может перенаправляться на форму авторизации средствами Ideco UTM.

 

Рисунок 6. Страница в веб-браузере, сгенерированная Ideco UTM для веб-авторизации пользователя

Страница в веб-браузере, сгенерированная Ideco UTM для веб-авторизации пользователя

 

Ideco UTM может быть интегрирован с доменом Active Directory (Windows Server 2008 R2, 2012, 2016, 2019), импортируя учётные записи оттуда. Для импортированных из Active Directory пользователей доступны все типы авторизации, при этом проверка осуществляется средствами Active Directory, а не Ideco UTM.

 

Рисунок 7. Раздел «Пользователи» веб-интерфейса Ideco UTM, вкладка «Active Directory»

Раздел «Пользователи» веб-интерфейса Ideco UTM, вкладка «Active Directory»

 

Ideco UTM предоставляет возможность автоматического создания пользователя с авторизацией по IP-адресу для устройства пытающегося выйти в интернет.

 

Рисунок 8. Раздел «Пользователи» веб-интерфейса Ideco UTM, вкладка «Обнаружение устройств». Определён пул адресов для автоматического обнаружения устройств и создания пользователей

Раздел «Пользователи» веб-интерфейса Ideco UTM, вкладка «Обнаружение устройств». Определён пул адресов для автоматического обнаружения устройств и создания пользователей

 

Мониторинг активности пользователей

Ideco UTM предоставляет администратору подробную информацию об активных пользователях в контролируемой сети и VPN-подключениях, а также данные о трафике в режиме реального времени.

 

Рисунок 9. Раздел «Мониторинг» веб-интерфейса Ideco UTM, вкладка «Активные пользователи». Администратору отображены активные сессии

Раздел «Мониторинг» веб-интерфейса Ideco UTM, вкладка «Активные пользователи». Администратору отображены активные сессии

 

Рисунок 10. Раздел «Мониторинг» веб-интерфейса Ideco UTM, вкладка «VPN пользователи». Администратору отображены активные сессии

Раздел «Мониторинг» веб-интерфейса Ideco UTM, вкладка «VPN пользователи». Администратору отображены активные сессии

 

Администратору доступны журналы модулей Ideco UTM в веб-интерфейсе. С их помощью можно проконтролировать старт и работу модулей, выявить ошибки в их функционировании.

 

Рисунок 11. Раздел «Мониторинг» веб-интерфейса Ideco UTM, вкладка «Журналы». Администратору отображены доступные системные журналы модулей Ideco UTM

Раздел «Мониторинг» веб-интерфейса Ideco UTM, вкладка «Журналы». Администратору отображены доступные системные журналы модулей Ideco UTM

 

Для контроля загруженности процессора, оперативной памяти и интерфейсов сервера, а также активности пользователей администратору предоставляется статистическая информация в виде графиков загруженности. Ideco UTM может хранить и предоставить информацию за последние три месяца.

 

Рисунок 12. Раздел «Мониторинг» веб-интерфейса Ideco UTM, вкладка «Графики загруженности». Средняя загрузка сервера (Load Average) и количество установленных соединений

Раздел «Мониторинг» веб-интерфейса Ideco UTM, вкладка «Графики загруженности». Средняя загрузка сервера (Load Average) и количество установленных соединений

 

Как уже было сказано выше, в новой версии Ideco UTM полностью переработан модуль монитора трафика реального времени. Теперь администратор легко может определить, кем и каким трафиком загружен канал.

 

Рисунок 13. Раздел «Мониторинг» веб-интерфейса Ideco UTM, вкладка «Монитор трафика». Трафик по узлам локальной сети

Раздел «Мониторинг» веб-интерфейса Ideco UTM, вкладка «Монитор трафика». Трафик по узлам локальной сети

 

Рисунок 14. Раздел «Мониторинг» веб-интерфейса Ideco UTM, вкладка «Монитор трафика». Трафик по протоколам

Раздел «Мониторинг» веб-интерфейса Ideco UTM, вкладка «Монитор трафика». Трафик по протоколам

 

Администратор может получать уведомления от Ideco UTM в Telegram от специального бота.

 

Рисунок 15. Раздел «Мониторинг» веб-интерфейса Ideco UTM, вкладка «Телеграм-бот». Инструкция по настройке уведомлений через Telegram

Раздел «Мониторинг» веб-интерфейса Ideco UTM, вкладка «Телеграм-бот». Инструкция по настройке уведомлений через Telegram

 

Рисунок 16. Телеграм-бот Ideco. Начало работы

Телеграм-бот Ideco. Начало работы

 

Администратор имеет возможность осуществлять мониторинг работы Ideco UTM и управлять им по протоколу SNMP версий 1/2c и 3.

 

Рисунок 17. Раздел «Мониторинг» веб-интерфейса Ideco UTM, вкладка «SNMP». Настройка параметров доступа по протоколу SNMP

Раздел «Мониторинг» веб-интерфейса Ideco UTM, вкладка «SNMP». Настройка параметров доступа по протоколу SNMP

 

Ideco UTM может передавать системные сообщения (syslog) в сторонние коллекторы (Syslog Collector) или в SIEM-системы.

 

Рисунок 18. Раздел «Мониторинг» веб-интерфейса Ideco UTM, вкладка «Syslog». Настройка сетевых параметров передачи системных сообщений Ideco UTM

Раздел «Мониторинг» веб-интерфейса Ideco UTM, вкладка «Syslog». Настройка сетевых параметров передачи системных сообщений Ideco UTM

 

Ideco UTM поддерживает интеграцию с системой мониторинга Zabbix в двух режимах: активном и пассивном. В активном режиме соединение с Zabbix-сервером происходит по инициативе Ideco UTM, в пассивном — наоборот.

 

Рисунок 19. Раздел «Мониторинг» веб-интерфейса Ideco UTM, вкладка «Zabbix-агент». Настройка параметров взаимодействия с Zabbix-сервером

Раздел «Мониторинг» веб-интерфейса Ideco UTM, вкладка «Zabbix-агент». Настройка параметров взаимодействия с Zabbix-сервером

 

Межсетевое экранирование

Функции межсетевого экрана являются ключевыми в любом UTM-устройстве. Модуль межсетевого экранирования Ideco UTM позволяет по различным критериям ограничивать пользовательский трафик.

 

Рисунок 20. Раздел «Правила трафика» веб-интерфейса Ideco UTM, вкладка «Файрвол». Добавление нового правила фильтрации

Раздел «Правила трафика» веб-интерфейса Ideco UTM, вкладка «Файрвол». Добавление нового правила фильтрации

 

Модуль анализирует заголовки пакетов, проходящих через интерфейсы сервера, и принимает решение о пропуске трафика на основе глобальных правил, настроенных для сетевых протоколов, портов, IP-адресов и т. д.

Правила делятся на четыре категории:

  • FORWARD — правила для трафика, который проходит между интерфейсами сервера: интернетом и локальной сетью, а также между локальными сетями. Это основные правила, ограничивающие трафик пользователей.
  • DNAT (перенаправление портов) — правила прямого перенаправления портов с внешнего интерфейса на определённые ресурсы локальной сети (port forwarding).
  • INPUT — правила входящего трафика, поступающего на интерфейсы сервера. Как правило, это трафик для служб сервера (например, почты).
  • SNAT — правила управления трансляцией сетевых адресов.

 

Рисунок 21. Раздел «Правила трафика» веб-интерфейса Ideco UTM, вкладка «Файрвол». Таблица правил INPUT

Раздел «Правила трафика» веб-интерфейса Ideco UTM, вкладка «Файрвол». Таблица правил INPUT

 

Контроль приложений

Модуль контроля приложений Ideco UTM осуществляет глубокий анализ трафика (DPI) для выявления протоколов прикладного уровня (L7).

 

Рисунок 22. Раздел «Правила трафика» веб-интерфейса Ideco UTM, вкладка «Контроль приложений». Перечень популярных правил фильтрации трафика приложений

Раздел «Правила трафика» веб-интерфейса Ideco UTM, вкладка «Контроль приложений». Перечень популярных правил фильтрации трафика приложений

 

Модуль содержит широкий набор популярных протоколов, позволяющий запретить нежелательный трафик, связанный с сетевыми играми, майнингом, социальными сетями, мессенджерами, удалённым доступом и т. д.

Контент-фильтрация

Модуль контентной фильтрации Ideco UTM, он же контент-фильтр, проверяет адрес запрашиваемого сайта на принадлежность к списку запрещённых ресурсов. Список содержит категории, по которым разбиваются ресурсы. Поскольку правила фильтрации применяются по порядку, контент-фильтрация может быть настроена максимально гибко для разных групп пользователей, позволяя подстроиться под бизнес-процессы организации.

 

Рисунок 23. Раздел «Правила трафика» веб-интерфейса Ideco UTM, вкладка «Контент-фильтр». Категории ресурсов

Правила трафика» веб-интерфейса Ideco UTM, вкладка «Контент-фильтр». Категории ресурсов

 

Встроенная база содержит порядка 140 категорий, включающих в себя миллионы URL, автоматически обновляемых сервером Ideco UTM. Эти категории работают только при активной подписке на обновления в коммерческих редакциях. Также предусмотрено создание пользовательских категорий правил.

 

Рисунок 24. Раздел «Правила трафика» веб-интерфейса Ideco UTM, вкладка «Контент-фильтр». Создание пользовательской категории контент-фильтрации

Раздел «Правила трафика» веб-интерфейса Ideco UTM, вкладка «Контент-фильтр». Создание пользовательской категории контент-фильтрации

 

Ограничение скорости входящего интернет-трафика и квоты

Ideco UTM позволяет ограничивать скорость входящего интернет-трафика для пользователей и их групп.

 

Рисунок 25. Раздел «Правила трафика» веб-интерфейса Ideco UTM, вкладка «Ограничение скорости». Правила ограничения скорости

Раздел «Правила трафика» веб-интерфейса Ideco UTM, вкладка «Ограничение скорости». Правила ограничения скорости

 

Рисунок 26. Раздел «Правила трафика» веб-интерфейса Ideco UTM, вкладка «Ограничение скорости». Добавление нового ограничения

Раздел «Правила трафика» веб-интерфейса Ideco UTM, вкладка «Ограничение скорости». Добавление нового ограничения

 

В Ideco UTM есть возможность настроить лимиты трафика для пользователей и групп — квоты. Каждая квота определяется периодом действия (час, день, неделя, месяц, квартал) и объёмом разрешённого трафика.

 

Рисунок 27. Раздел «Правила трафика» веб-интерфейса Ideco UTM, вкладка «Квоты»

Раздел «Правила трафика» веб-интерфейса Ideco UTM, вкладка «Квоты»

 

Антивирусная фильтрация

Ideco UTM предоставляет автоматически настроенный модуль антивирусной фильтрации, не требующий ручного конфигурирования. На выбор предоставляется фильтрация с помощью опенсорс-антивируса ClamAV и коммерческого продукта «Лаборатории Касперского», предоставляемого по дополнительной лицензии.

Для оптимизации нагрузки на сервер Ideco UTM антивирусная фильтрация выполняется после проверки списков исключения прокси-сервера по источнику и получателю. HTTPS-трафик проверяется в случае его расшифровки контент-фильтром.

 

Рисунок 28. Раздел «Правила трафика» веб-интерфейса Ideco UTM, вкладка «Антивирусы веб-трафика»

Раздел «Правила трафика» веб-интерфейса Ideco UTM, вкладка «Антивирусы веб-трафика»

 

Система предотвращения вторжений

Система предотвращения вторжений, входящая в состав Ideco UTM, обнаруживает, журналирует и предотвращает атаки злоумышленников на сервер, интегрированные службы (почту, веб-сайт и др.) и локальную сеть.

 

Рисунок 29. Раздел «Правила трафика» веб-интерфейса Ideco UTM, вкладка «Предотвращение вторжений». Журнал записей предупреждений

Раздел «Правила трафика» веб-интерфейса Ideco UTM, вкладка «Предотвращение вторжений». Журнал записей предупреждений

 

Записи электронного журнала хранятся в течение заданного на вкладке «Настройки» времени. В веб-интерфейсе отображаются последние 100 записей журнала, полный журнал доступен через терминал.

Правила включают в себя блокирование активности троянских и шпионских программ, вирусов, бот-сетей, клиентов P2P-сетей и торрент-трекеров, сети TOR, анонимайзеров и т. д.

Управление сервером Ideco UTM

Как уже было сказано, производитель внёс изменения в веб-интерфейс для повышения удобства работы пользователя и добавления новой функциональности. В новой версии Ideco UTM настройки управления сервером сгруппированы в два раздела — «Сервисы» и «Управление сервером». Первый раздел содержит основные сетевые параметры: сетевые интерфейсы, маршрутизация, интеграция со сторонними серверами.

Параметры сетевых интерфейсов, локальных и внешних, сервера Ideco UTM и протоколов подключения (Ethernet, L2TP, PPPoE) к провайдеру задаются в подразделе «Сетевые интерфейсы» раздела «Сервисы».

 

Рисунок 30. Раздел «Сервисы» веб-интерфейса Ideco UTM, вкладка «Сетевые интерфейсы»

Раздел «Сервисы» веб-интерфейса Ideco UTM, вкладка «Сетевые интерфейсы»

 

При подключении сервера к нескольким интернет-провайдерам предусмотрены резервирование подключений, статическая и динамическая балансировка. При статической балансировке часть подключений к сети «Интернет» осуществляется через одного провайдера, часть — через другого. При динамической балансировке переключение на провайдеров осуществляется поочерёдно в зависимости от нагрузки. В этом случае сессии пользователей равномерно распределяются между провайдерами.

 

Рисунок 31. Раздел «Сервисы» веб-интерфейса Ideco UTM, вкладка «Балансировка и нагрузка». Подключение к провайдерам сети «Интернет» осуществляется в режиме «Резервирование»

Раздел «Сервисы» веб-интерфейса Ideco UTM, вкладка «Балансировка и нагрузка». Подключение к провайдерам сети «Интернет» осуществляется в режиме «Резервирование»

 

Система маршрутизации Ideco UTM позволяет перенаправлять сетевой трафик с рядом преимуществ:

  • администратор может указывать сеть источника прямо в маршруте;
  • в случае недоступности Ideco UTM или сетевого интерфейса путь ищется по правилам маршрутизации;
  • создание, редактирование и удаление правил маршрутизации локальных и внешних сетей осуществляется через веб-интерфейс Ideco UTM.

 

Рисунок 32. Раздел «Сервисы» веб-интерфейса Ideco UTM, вкладка «Маршрутизация». Добавление нового маршрута локальной сети

Раздел «Сервисы» веб-интерфейса Ideco UTM, вкладка «Маршрутизация». Добавление нового маршрута локальной сети

 

По умолчанию Ideco UTM прозрачно проксирует веб-трафик в локальную сеть предприятия. Прокси-сервер также выступает в качестве мастер-службы для некоторых сервисов, связанных с обработкой, контролем и учётом веб-трафика пользователей: антивирусной и контентной фильтрации, мониторинга трафика реального времени.

 

Рисунок 33. Раздел «Сервисы» веб-интерфейса Ideco UTM, вкладка «Прокси»

Раздел «Сервисы» веб-интерфейса Ideco UTM, вкладка «Прокси»

 

Ideco UTM поддерживает технологию обратного проксирования, позволяя публиковать локальные ресурсы для доступа из сети «Интернет». Основным параметром при публикации веб-ресурса является запрашиваемый адрес в интернете. Из внешней сети по протоколу HTTP и данному URL-адресу осуществляется обращение к UTM. Обратный прокси позволяет перенаправить этот запрос на HTTP-сервер в локальной сети. Таким образом, имея одну ресурсную A-запись для внешнего сетевого интерфейса UTM, можно опубликовать несколько ресурсов в локальной сети, распределив их по нескольким входящим URL.

 

Рисунок 34. Раздел «Сервисы» веб-интерфейса Ideco UTM, вкладка «Обратный прокси». Создание правила публикации

Раздел «Сервисы» веб-интерфейса Ideco UTM, вкладка «Обратный прокси». Создание правила публикации

 

Служба DNS преобразует имена серверов в IP-адреса и в большинстве случаев работает без дополнительных настроек. В Ideco UTM предусмотрена возможность использования сторонних DNS-серверов с указанием конкретных DNS-зон, которые эти серверы обслуживают (вкладка «Forward-зоны»). Также на вкладке «Master-зоны» можно настроить полнофункциональный DNS-сервер, разрешающий имена в IP-адреса сетевых устройств в локальной сети.

 

Рисунок 35. Раздел «Сервисы» веб-интерфейса Ideco UTM, вкладка «DNS». Внешние DNS-серверы

Раздел «Сервисы» веб-интерфейса Ideco UTM, вкладка «DNS». Внешние DNS-серверы

 

Для удобства настройки и администрирования сетевых устройств в локальной сети (автоматического назначения IP-адресов) в Ideco UTM встроен собственный DHCP-сервер. Веб-интерфейс Ideco UTM позволяет настроить диапазон IP-адресов для автоматического назначения, а также сформировать статические привязки IP-адресов к MAC-адресам этих устройств.

 

Рисунок 36. Раздел «Сервисы» веб-интерфейса Ideco UTM, вкладка «DHCP-сервер». Параметры DHCP-сервера

Раздел «Сервисы» веб-интерфейса Ideco UTM, вкладка «DHCP-сервер». Параметры DHCP-сервера

 

Ideco UTM поддерживает ведение нескольких учётных записей администраторов для доступа к веб-интерфейсу и настройкам сервера. Предустановленную запись администратора удалить нельзя, можно только изменить её данные (имя, логин и пароль).

Поддерживается доступ администраторов изо внешней сети к веб-интерфейсу, а также администрирование по протоколу SSH.

 

Рисунок 37. Раздел «Управление сервером» веб-интерфейса Ideco UTM, вкладка «Администраторы». Перечень учётных записей администраторов и их параметры доступа

Раздел «Управление сервером» веб-интерфейса Ideco UTM, вкладка «Администраторы». Перечень учётных записей администраторов и их параметры доступа

 

Обновление Ideco UTM осуществляется исключительно по сети. Администратор настраивает параметры автоматического обновления, чтобы не нарушать работу пользователей.

 

Рисунок 38. Раздел «Управление сервером» веб-интерфейса Ideco UTM, вкладка «Автоматическое обновление». Параметры автоматического обновления Ideco UTM

Раздел «Управление сервером» веб-интерфейса Ideco UTM, вкладка «Автоматическое обновление». Параметры автоматического обновления Ideco UTM

 

Для оперативного восстановления работоспособности шлюза предусмотрено резервное копирование. Поддерживается автоматическое копирование на сетевое файловое хранилище по протоколу FTP или NetBIOS, а также на локальный жёсткий диск. Резервные копии хранятся в течение недели или месяца.

 

Рисунок 39. Раздел «Управление сервером» веб-интерфейса Ideco UTM, вкладка «Резервное копирование». Резервные копии Ideco UTM

Раздел «Управление сервером» веб-интерфейса Ideco UTM, вкладка «Резервное копирование». Резервные копии Ideco UTM

 

Для диагностики сервера предусмотрено использование терминала. Не рекомендуется применять терминал для настройки Ideco UTM, поскольку это может привести к необратимым последствиям.

 

Рисунок 40. Раздел «Управление сервером» веб-интерфейса Ideco UTM, вкладка «Терминал»

Раздел «Управление сервером» веб-интерфейса Ideco UTM, вкладка «Терминал»

 

Дополнительно веб-интерфейс позволяет управлять лицензией Ideco UTM и питанием сервера.

«Айдеко» по разрешению пользователей выполняет сбор анонимной статистики о работе сервера и используемых модулях. Конфиденциальная информация, вроде сведений о пользователях, проходящем через сервер трафике, сетевых интерфейсах и идентификаторах сервера и лицензии, не собирается.

 

Рисунок 41. Раздел «Управление сервером» веб-интерфейса Ideco UTM, вкладка «Дополнительно». Сбор статистики по работе сервера разрешён

Раздел «Управление сервером» веб-интерфейса Ideco UTM, вкладка «Дополнительно». Сбор статистики по работе сервера разрешён

 

Система отчётов

Ideco UTM автоматически генерирует отчёты по активности пользователей и посещаемым ими сайтам, по категориям сетевого трафика.

 

Рисунок 42. Раздел «Отчёты» веб-интерфейса Ideco UTM, вкладка «Сайты». Отчёт по посещаемости сайтов

Раздел «Отчёты» веб-интерфейса Ideco UTM, вкладка «Сайты». Отчёт по посещаемости сайтов

 

Рисунок 43. Раздел «Отчёты» веб-интерфейса Ideco UTM, вкладка «Пользователи». Отчёт по активности пользователей

Раздел «Отчёты» веб-интерфейса Ideco UTM, вкладка «Пользователи». Отчёт по активности пользователей

 

Рисунок 44. Раздел «Отчёты» веб-интерфейса Ideco UTM, вкладка «Категории». Отчёт по категориям трафика

Раздел «Отчёты» веб-интерфейса Ideco UTM, вкладка «Категории». Отчёт по категориям трафика

 

Рисунок 45. Раздел «Отчёты» веб-интерфейса Ideco UTM, вкладка «Журнал событий»

Раздел «Отчёты» веб-интерфейса Ideco UTM, вкладка «Журнал событий»

 

Рисунок 46. Раздел «Отчёты» веб-интерфейса Ideco UTM, вкладка «Журнал авторизации»

Раздел «Отчёты» веб-интерфейса Ideco UTM, вкладка «Журнал авторизации»

 

Ideco VPN

Для получения доступа к локальной сети предприятия извне (из дома, отеля, другого офиса) предусмотрено подключение по VPN с удалённого устройства пользователя. Ideco UTM поддерживает следующие популярные VPN-протоколы: WireGuard, IKEv2/IPsec, SSTP, L2TP/IPsec.

 

Рисунок 47. Раздел «Сервисы» веб-интерфейса Ideco UTM, вкладка «IPsec». Параметры подключения по протоколу IPsec

Раздел «Сервисы» веб-интерфейса Ideco UTM, вкладка «IPsec». Параметры подключения по протоколу IPsec

 

Ideco UTM теперь имеет собственный VPN-агент на базе протокола WireGuard. Ранее поддержка протоколов туннелирования ложилась на операционные системы. VPN-агент производства «Айдеко» работает в ОС Microsoft Windows 8 и выше и автоматически разворачивается с помощью MSI-пакетов. Далее агент самостоятельно обновляется — разработчик объявил о планах добавить в него новые функции.

 

Рисунок 48. Главное окно Ideco VPN

Главное окно Ideco VPN

 

Почтовый релей

В Ideco UTM встроен полноценный почтовый сервер. Все возможности по фильтрации почтового трафика применяются ко внутреннему почтовому серверу, опубликованному через передаточный узел (релей). Основные параметры включают в себя множество базовых настроек, необходимых для работы сервера.

 

Рисунок 49. Раздел «Почтовый релей» веб-интерфейса Ideco UTM, вкладка «Основные настройки». Основные настройки почтового релея

Раздел «Почтовый релей» веб-интерфейса Ideco UTM, вкладка «Основные настройки». Основные настройки почтового релея

 

Расширенные настройки почтового релея включают в себя такие параметры, как размер почтового ящика, пересылка почты, параметры безопасности и DKIM-подпись.

 

Рисунок 50. Раздел «Почтовый релей» веб-интерфейса Ideco UTM, вкладка «Расширенные настройки». Параметры безопасности

Раздел «Почтовый релей» веб-интерфейса Ideco UTM, вкладка «Расширенные настройки». Параметры безопасности

 

Администратор может управлять службой антиспама, основанной на технологиях «Лаборатории Касперского» с функцией машинного обучения и искусственного интеллекта, через веб-интерфейс администратора.

 

Рисунок 51. Раздел «Почтовый релей» веб-интерфейса Ideco UTM, вкладка «Антиспам». Параметры антиспама

Раздел «Почтовый релей» веб-интерфейса Ideco UTM, вкладка «Антиспам». Параметры антиспама

 

Переадресация почты настраивается с помощью почтовых псевдонимов (алиасов). Алиасы не требуют логинов и паролей, они закрепляются за ящиком и служат его копиями с другими именами. В случае назначения алиаса нескольким почтовым ящикам он может служить группой рассылки. Поступающая на алиас почта автоматически пересылается на все реальные почтовые ящики, связанные с ним.

 

Рисунок 52. Раздел «Почтовый релей» веб-интерфейса Ideco UTM, вкладка «Правила». Добавление правила переадресации

Раздел «Почтовый релей» веб-интерфейса Ideco UTM, вкладка «Правила». Добавление правила переадресации

 

Выводы

Ideco UTM 10 — новая версия популярного отечественного продукта. Производитель учёл пожелания пользователей и добавил целый набор обновлений. Радует, что продукт продолжает развиваться по заданному расписанию. Уже анонсированы новые изменения, в частности динамическая маршрутизация, новая отчётность (в том числе об использованных приложениях), кластеризация.

В ближайшее время ожидается выход сертифицированной по требованиям ФСТЭК России версии, что существенно расширит область применения шлюза.

Достоинства:

  • Переход на новую версию ядра Linux, полное обновление платформы.
  • Впервые анонсирован собственный VPN-агент.
  • Переработан веб-интерфейс, появилась английская версия.
  • Добавлен мониторинг трафика реального времени.
  • Проработаны правила фильтрации.
  • Повышена скорость обработки трафика.
  • Оповещение администратора через телеграм-бот о новых типах событий на сервере.

Недостатки:

  • VPN-агент представлен только под Microsoft Windows, но в ближайшее время ожидается релиз для Linux.
  • Отсутствует динамическая маршрутизация (планируется внедрить её в новых версиях Ideco UTM).
  • Некоторым заказчикам может потребоваться больше дашбордов на панели мониторинга, необходимо предусмотреть возможность изменения её внешнего вида администратором. Производитель анонсировал доработки в ближайших версиях Ideco UTM.

Реестр сертифицированных продуктов »

Записаться на демонстрацию

Нажимая "Запросить", вы соглашаетесь с Политикой конфиденциальности и обработки персональных данных нашей компании

Запросить пробную версию

Нажимая "Получить", вы соглашаетесь с Политикой конфиденциальности и обработки персональных данных нашей компании

Запросить цены

Нажимая "Отправить", вы соглашаетесь с Политикой конфиденциальности и обработки персональных данных нашей компании

Задать вопрос

Нажимая "Задать", вы соглашаетесь с Политикой конфиденциальности и обработки персональных данных нашей компании

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
Лаборатория AM Test Lab готова провести независимую экспертизу и добровольную сертификацию любого продукта или сервиса по информационной безопасности и подготовить его профессиональный обзор. Для получения дополнительной информации необходимо оформить запрос.