Сертификат AM Test Lab
Номер сертификата: 392
Дата выдачи: 31.08.2022
Срок действия: 31.08.2027
- Введение
- Функциональные возможности Ideco UTM
- Системные требования Ideco UTM
- Модельный ряд устройств Ideco UTM
- Применение Ideco UTM
- Выводы
Введение
Российская компания «Айдеко» в условиях ухода с российского ИБ-рынка многих иностранных вендоров продолжает развитие своего продукта — межсетевого экрана Ideco UTM. Это уже 13-й релиз, который внутри компании шутя назвали «нечёртова дюжина».
Ранее мы делали обзор двенадцатой версии шлюза, опубликованный в апреле 2022 г. Тринадцатый релиз Ideco UTM опирается на новую платформу на базе ядра Linux 5.17, дополнен новыми функциями по безопасности и сопровождается улучшениями веб-интерфейса.
Функциональные возможности Ideco UTM
Межсетевой экран Ideco UTM обладает следующими особенностями и функциональными возможностями:
- Межсетевой экран — базовая функциональность сетевой фильтрации.
- Система предотвращения вторжений — предназначена для выявления и предотвращения вредной и потенциально опасной активности в защищаемой шлюзом сети. Осуществляются в том числе блокирование атак, DoS, шпионских программ, телеметрии Windows, криптомайнеров и командных центров ботнетов, предупреждение вирусной активности внутри сети, блокировка неблагонадёжных регионов по GeoIP и репутации IP-адресов.
- Контент-фильтр — осуществляет анализ посещаемых пользователем веб-ресурсов с целью предотвращения доступа к запрещённым или вредоносным страницам.
- Контроль приложений — обеспечивает определение используемых программ независимо от используемого сетевого порта на 7-м уровне модели OSI.
- Многоуровневая антивирусная и антиспам-проверка трафика внешними фильтрами от «Лаборатории Касперского» или ClamAV.
- VPN с поддержкой протоколов IKEv2/IPsec, SSTP, L2TP/IPsec, PPTP.
- Удалённый доступ по VPN (Client-to-Site) с использованием современных протоколов: WireGuard (собственный VPN-агент под Windows), IKEv2/IPsec, SSTP, L2TP/IPsec. Имеется пользовательский портал с инструкцией, VPN-агентом, скриптом создания VPN-подключения. Авторизация пользователей осуществляется с помощью Active Directory.
Ideco UTM поддерживает интеграцию с системами мониторинга (Zabbix-агент, SNMP), с системами класса DLP (по ICAP), со службой активных каталогов Microsoft Active Directory и с облачным сервисом SkyDNS.
С выходом 13-й версии в продукте произошли существенные изменения. В частности, появились:
- обновлённая платформа на базе ядра Linux 5.17;
- новая отчётность по веб-трафику и трафику приложений (включая конструктор отчётов и указание полных URL в отчётах);
- отчёты по событиям IDS / IPS (дашборды);
- двухфакторная аутентификация пользователей VPN;
- динамическая маршрутизация BGP;
- новый агент авторизации и VPN (WireGuard);
- возможность подключения к центральной консоли и использования общих политик файрвола группой серверов;
- многочисленные улучшения веб-интерфейса.
Системные требования Ideco UTM
Ideco UTM может устанавливаться на физический сервер или виртуальную машину. Поддерживаются такие системы виртуализации, как VMware, Microsoft Hyper-V, VirtualBox, KVM, Citrix XenServer.
Для установки и работы Ideco UTM не требуется предустановленной ОС и дополнительного программного обеспечения. Ideco UTM устанавливается на выделенный сервер с загрузочного CD или USB-накопителя, при этом автоматически создаётся файловая система и устанавливаются все необходимые компоненты.
Минимальные требования для установки Ideco UTM приведены в таблице далее.
Таблица 1. Минимальные требования для установки Ideco UTM
Технические характеристики | Значение |
Платформа | Обязательна поддержка UEFI |
Процессор | Intel Pentium G / i3 / i5 / i7 / Xeon E3 / Xeon E5 с поддержкой SSE 4.2 |
Ёмкость устройства хранения данных | Жёсткий диск или SSD объёмом 64 ГБ или больше с интерфейсом SATA, mSATA, SAS или совместимый аппаратный RAID. Дополнительный жёсткий диск или SSD при использовании почтового сервера |
Объём оперативной памяти | 8 ГБ (16 ГБ при количестве пользователей более 75) |
Сеть | Две сетевые карты (или два сетевых порта) 100/1000 Мбит/с. Рекомендуется использовать карты на чипах Intel, Broadcom. Поддерживаются Realtek, D-Link и другие |
Гипервизоры | VMware, Microsoft Hyper-V (2-го поколения), VirtualBox, KVM, Citrix XenServer |
Дополнительно | Монитор и клавиатура |
Ограничения | Обязательна поддержка UEFI. Не поддерживаются программные RAID-контроллеры (интегрированные в чипсет). Для виртуальных машин необходимо использовать фиксированный, а не динамический размер жёсткого диска |
Лицензирование Ideco UTM
У лицензии Ideco UTM есть три основные характеристики.
- Количество пользователей: одновременно авторизованные (подключённые к интернету) пользователи локальной сети клиента или VPN-подключения пользователей, трафик которых проверяется и контролируется шлюзом.
- Редакция Ideco UTM (SMB, Enterprise): набор доступных к использованию модулей в системе и особенности их работы.
- Срок действия лицензии: де-факто не ограничен в редакциях SMB и Enterprise (составляет 20 лет). По окончании срока действия лицензии отключаются авторизация пользователей и фильтрация трафика.
Техническая поддержка предоставляется в период действия подписки на сервис. Подписка включена в стоимость лицензии и действует в течение года с момента приобретения продукта. После окончания срока действия подписка может быть продлена на год и более.
Модельный ряд устройств Ideco UTM
«Айдеко» предлагает широкий ряд устройств Ideco UTM, начиная с модели для небольших предприятий и офисов и заканчивая моделью предназначенной для крупных корпораций. В линейке появились новые модели уровня Enterprise: Ideco LX+ и Ideco EX.
Таблица 2. Модельный ряд Ideco UTM
Технические характеристики | Модельный ряд аппаратных Ideco UTM | |||||
Ideco SX+ | Ideco MX Cert (сертифицирована ФСТЭК России) | Ideco MX | Ideco LX | Ideco LX+ | Ideco EX | |
Назначение | Для небольших организаций численностью от 50 до 75 активных пользователей интернета | Сертифицированная аппаратная платформа для организаций численностью от 100 до 350 пользователей | Для средних предприятий (от 50 до 350 активных пользователей) | Для предприятий малого и среднего бизнеса численностью от 300 до 3000 активных пользователей интернета | Для предприятий малого и среднего бизнеса численностью от 1000 до 3000 активных пользователей интернета | Для крупных компаний численностью от 3000 активных пользователей интернета |
Процессор | Intel Core i5-10210U | Intel Atom C-3758 | Intel Xeon E-2234 | Intel Xeon E-2236 | Intel Xeon Silver 4214R | Intel Xeon Gold 6238R |
Ёмкость устройства хранения данных | 256 ГБ mSATA | 240 ГБ SATA SSD | 240 ГБ SATA SSD | 240 ГБ SATA SSD | 480 ГБ SATA SSD | 480 ГБ SATA SSD |
Объём оперативной памяти | 16 ГБ SO-DIMM DDR4 | 16 ГБ DDR4 | 16 ГБ DDR4-2133 ECC | 32 ГБ DDR4-2133 ECC | 64 ГБ DDR4 ECC REG | 64 ГБ DDR4 ECC REG |
Сетевые интерфейсы | 6 × i210 / i211 | 8 × 1 Гбит/с LAN | 4 × 1 Гбит/с LAN | 4 × 1 Гбит/с LAN | 4 × 1 Гбит/с LAN, 4 × 10 Гбит/с SFP+ | 4 × 1 Гбит/с LAN, 4 × 10 Гбит/с SFP+ |
Формфактор | настольный | 1U | 1U | 1U | 2U | 2U |
Габариты (В × Ш × Г): | 209 × 150 × 57 мм | 438 × 321 × 44 мм | 408 × 484 × 43 мм | 408 × 484 × 43 мм | 659 × 438 × 87 мм | 659 × 438 × 87 мм |
Применение Ideco UTM
Новая отчётность по веб-трафику и трафику приложений
В разделе «Трафик» администраторам предоставляется категорированная отчётность по использованию веб-ресурсов и трафику приложений. Здесь можно ознакомиться с информацией о проходящем через Ideco UTM трафике в режиме реального времени.
Раздел «Трафик» автоматически собирает статистику из контент-фильтра (категории и сайты) и контроля приложений (протоколы), сводя её в виджеты по умолчанию заданными фильтрами.
Рисунок 1. Раздел «Трафик» в Ideco UTM
Рисунок 2. Раздел «Трафик» в Ideco UTM
Как видно из примеров выше, существует несколько способов отображения информации: в виде круговых диаграмм и таблиц.
Каждый виджет содержит топ-5 объектов. На каждый объект можно нажать и перейти на страницу с виджетами, в которых статистика фильтруется по этому объекту.
Кроме того, есть также развёрнутый режим. Он содержит данные по всем объектам из топа, а для поиска по объектам можно воспользоваться фильтрами.
Рисунок 3. Развёрнутый режим просмотра статистики в разделе «Трафик» в Ideco UTM
Новый конструктор отчётов
В новой версии межсетевого экрана реализована возможность создавать шаблоны отчётов и настраивать их рассылку в формате PDF на электронную почту.
Допустим, требуется настроить отправку отчёта с информацией о заблокированных сайтах по всем пользователям каждое первое число месяца. Для этого переходим в раздел «Мои шаблоны» и нажимаем кнопку «Добавить». Откроется меню настройки шаблона. Далее задаём промежуток (временной интервал, за который следует сформировать отчёт, из предложенных фильтров) и название отчёта, выбираем параметр «Всем пользователям» и добавляем виджет «Топ заблокированных сайтов».
Рисунок 4. Создание шаблона отчёта в Ideco UTM
Сохраняем шаблон и создаём на вкладке «Отчёты по расписанию» правило, согласно которому отчёты будут отправляться на электронную почту, путём добавления адресов получателей.
Новые отчёты по событиям IDS / IPS (дашборды)
События IDS / IPS можно фильтровать по дате и времени — например, установить временной интервал или воспользоваться одним из предустановленных фильтров.
Рисунок 5. События IDS / IPS в Ideco UTM
По умолчанию будут показаны события за сегодняшний день, если ни один временной фильтр не задан.
На дашборде вся собранная виджетами информация представлена подробно в виде таблицы внизу раздела. Можно найти идентификатор правила, которое сработало, и при необходимости создать исключение в IDS / IPS.
На текущий момент есть следующие виджеты:
- Количество атак по уровню угрозы.
- Топ пользователей по заблокированным запросам.
- Топ атакованных адресов.
- Топ атакующих адресов.
- Топ заблокированных типов атак.
- Топ атакующих стран.
Двухфакторная аутентификация VPN-пользователей
Теперь удостоверять личности пользователей VPN можно более надёжно. Если включить двухфакторную аутентификацию, то она будет применяться ко всем пользователям VPN, вне зависимости от наличия сохранённого номера телефона в карточке сотрудника.
Рисунок 6. Двухфакторная аутентификация в Ideco UTM
При переходе в браузер откроется страница для ввода кода.
Рисунок 7. Двухфакторная аутентификация в Ideco UTM
При нажатии на кнопку «Отправить код подтверждения» на указанный в карточке пользователя номер телефона поступает звонок; последние четыре цифры номера, с которого осуществляется вызов, являются кодом.
Рисунок 8. Двухфакторная аутентификация в Ideco UTM
Динамическая маршрутизация BGP
В Ideco UTM 13 реализована поддержка протокола динамической маршрутизации BGP (Border Gateway Protocol), который используется в интернете для обмена доступной информацией о маршрутизации между автономными сетями (AS), построения путей распространения между доменами AS, предотвращения петель маршрутизации и применения некоторых стратегий маршрутизации на уровне AS.
Рисунок 9. Раздел «BGP» в Ideco UTM
Для настройки своей автономной системы необходимо ввести номер AS и активировать BGP.
Рисунок 10. Пример настройки AS в Ideco UTM
Можно также выполнить настройку BGP-соседа, заполнив соответствующие поля (рис. 11).
Рисунок 11. Пример настройки BGP-соседа в Ideco UTM
Теперь Ideco UTM можно использовать в качестве маршрутизатора в больших сетях.
Выводы
Ideco UTM — российский универсальный шлюз безопасности, обладающий хорошими техническими характеристиками и большим числом функциональных возможностей. Ideco UTM соответствует концепции NGFW, он может быть установлен как единственное устройство и выполнять все необходимые функции защиты — межсетевое экранирование, обнаружение вторжений, VPN-подключение, веб-проксирование и т. п.
С каждым выходом очередного релиза Ideco UTM приближается к уровню зарубежных NGFW. Основная особенность выпуска 13 — это новая отчётность: улучшенная визуализация данных по веб-трафику и трафику приложений, отчёты по событиям IDS / IPS в виде дашбордов. Также появился конструктор отчётов.
В новой версии реализована поддержка протокола динамической маршрутизации BGP (Border Gateway Protocol), который используется в интернете. Благодаря этому Ideco UTM можно использовать в качестве маршрутизатора в больших сетях.
В модельном ряду появились две новые платформы: Ideco LX+ (1000–3000 активных пользователей интернета) и Ideco EX (от 3000 активных пользователей интернета).
Таким образом, Ideco UTM становится достойной заменой зарубежным NGFW, что особенно актуально в связи со сложившейся международной обстановкой.
Отметим, что есть также версия Ideco UTM, которая сертифицирована ФСТЭК России на соответствие требованиям четвёртого уровня доверия по профилям защиты межсетевых экранов типа «А» четвёртого класса защиты (ИТ.МЭ.А4.ПЗ), межсетевых экранов типа «Б» четвёртого класса защиты (ИТ.МЭ.Б4.ПЗ) и систем обнаружения вторжений уровня сети четвёртого класса защиты (ИТ.СОВ.С5.ПЗ) (сертификат ФСТЭК России № 4503). Наличие сертификата даёт возможность использовать Ideco UTM в составе систем защиты, где применение сертифицированных продуктов обязательно.
К недостаткам Ideco UTM можно отнести отсутствие поддержки российских криптографических алгоритмов ГОСТ 28147-89 VPN-сервером шлюза и, как следствие, отсутствие сертификатов по требованиям безопасности ФСБ России. Это может являться существенным ограничением при использовании продукта в качестве средства построения VPN-сетей в организациях государственного сектора.
Если рассматривать самостоятельную инсталляцию комплекса, то системное требование к наличию UEFI накладывает дополнительные ограничения на выбор «железа».
Достоинства:
- Комплексное российское решение по сетевой безопасности (межсетевой экран, система обнаружения вторжений, потоковый антивирус, VPN-сервис).
- Широкая линейка аппаратных устройств, охватывающая сегменты SOHO, SMB и Enterprise, возможность поставки в виде виртуального устройства.
- Наличие сертифицированной ФСТЭК России версии.
- Возможность создания кластера из двух нод для отказоустойчивой конфигурации.
- Возможность самостоятельно оценить качество настроек фильтрации с помощью сервиса Security Ideco.
- Интуитивный русскоязычный веб-интерфейс администрирования.
- Широкие возможности в области отчётности, включая конструктор отчётов.
- Поддерживается протокол динамической маршрутизации BGP.
- Двухфакторная авторизация для VPN (FlashCall).
Недостатки:
- Отсутствие поддержки российских криптографических алгоритмов ГОСТ 28147-89 VPN-сервером шлюза и, как следствие, отсутствие сертификатов по требованиям безопасности ФСБ России.
- Отсутствует возможность создания временных пользователей (данная функция может быть полезна для публичных сетей Wi-Fi, где необходимо идентифицировать пользователей и предоставить им доступ на ограниченное время).
- Системное требование к наличию UEFI накладывает дополнительные ограничения на выбор аппаратного обеспечения.