Ideco UTM (Unified Threat Management) — это комплексная система безопасности (российский межсетевой экран), предназначенная для защиты информационных ресурсов и сетей организаций от различных угроз и атак. Узнайте, что нового в свежей версии 15.
- Введение
- Функциональные возможности Ideco UTM 15
- Архитектура Ideco UTM 15
- Новые возможности Ideco UTM 15
- Системные требования Ideco UTM 15
- Основные направления применения Ideco UTM 15
- Выводы
Введение
В июле 2023 года компания «Айдеко» анонсировала релиз межсетевого экрана Ideco UTM 15. Ранее, в 2022 году, мы делали обзор предыдущей версии этого продукта. Сейчас в основе Ideco UTM лежит концепция объединения нескольких функций безопасности в одной системе. Это позволяет организациям контролировать различные аспекты защиты с помощью целостного интегрированного решения.
Разработчик продолжает поддержку версии 14, забрав часть новых функций в 15-ю версию, и, наоборот, часть возможностей версии 15 будут интегрированы в 14-ю для более плавного обновления у заказчиков. Поддержка Ideco UTM 12.11 закончилась 20 июня, а версия 13.12 будет поддерживаться до 6 ноября 2023 года; в связи с этим компания рекомендует всем, кто ещё не перешёл на 14-ю версию, сделать это и далее провести плавное обновление на версию 15 по факту её выхода в 2023 году.
Функциональные возможности Ideco UTM 15
Назовём некоторые из основных функций и возможностей Ideco UTM.
Рисунок 1. Основные возможности Ideco UTM 15
Межсетевой экран. Обеспечивает контроль и фильтрацию сетевого трафика на основе правил. Может блокировать нежелательный трафик и предотвращать несанкционированный доступ к сети. Также предоставляет защиту для корпоративных внутренних и внешних сетей, обеспечивая безопасную связь и контроль доступа к ресурсам организации.
Антивирусная защита. Обнаруживает и блокирует вирусные, троянские, шпионские программы и другие подобные угрозы. В версии 15 появилась возможность интеграции сигнатур от «Лаборатории Касперского». Стандартная проверка осуществляется с помощью антивируса ClamAV.
VPN (виртуальная частная сеть). Позволяет создавать защищённые соединения через общедоступные сети, обеспечивая конфиденциальность и целостность данных при передаче между удалёнными местоположениями. Есть собственный VPN-агент.
Защита от DDoS-атак. Помогает предотвращать и смягчать атаки типа «отказ в обслуживании» (DDoS) путём мониторинга трафика и применения различных методов противодействия.
Веб-фильтрация. Обеспечивает фильтрацию веб-содержимого для контроля доступа к определённым сайтам или категориям веб-ресурсов. Может быть использована для повышения производительности сети и предотвращения доступа к вредоносным или нежелательным ресурсам. Контент-фильтр охватывает 145 категорий сайтов, от развлекательных до фишинговых.
Контроль приложений. Возможен запрет торрентов, онлайн-игр, криптомайнеров (в общей сложности — более 250 приложений).
Контроль на уровне L7. Осуществляется контроль веб-трафика в отношении доступа к облачным хранилищам, соцсетям и форумам. Есть возможность задать определённый набор действий: к примеру, запретить выгрузку данных, но разрешить их загрузку в сеть организации.
IPS / IDS (обнаружение и предотвращение вторжений). Можно настроить сигнатурный анализ веб-трафика на предмет сетевых атак, в том числе исходящих от вредоносных ботов, с последующей блокировкой.
Почтовый релей (промежуточный узел). Сервер Ideco UTM 15 можно использовать в качестве первого рубежа защиты почтового трафика. Доступны все функции фильтрации писем, включая многоуровневую проверку на вирусы, спам и фишинговые ссылки. Применяются базы от «Лаборатории Касперского».
Журналирование и мониторинг. События регистрируются и анализируются в настоящем времени. Это помогает выявлять потенциальные угрозы, обнаруживать аномалии и проводить аудит безопасности. В версии 15 появилась возможность логировать действия администраторов системы.
Отчётность. Составление разовой или плановой отчётности по использованию трафика, веб-атакам и прочей статистике.
Архитектура Ideco UTM 15
Ideco UTM 15 является масштабируемой системой, которая может быть настроена и адаптирована под конкретные требования. Если у вас распределённая филиальная сеть, вы можете использовать консоль Ideco CENTER для централизованного управления настройками нескольких межсетевых экранов Ideco UTM.
Продукт динамически развивается в ответ на внешние факторы, такие как пандемия или уход иностранных вендоров. Дополнительный акцент делается на эффективной и быстрой техподдержке и умеренной ценовой политике.
Помимо основной линии разработки компания ведёт альтернативную — с использованием DPDK / VPP для маршрутизации и обработки трафика в пользовательском пространстве и освобождения сетевого стека ядра. В дальнейшем эта технология должна стать основной. Также предполагается развитие следующих прогрессивных направлений:
- протокол DPDK / VPP — увеличение скорости передачи данных;
- межсетевой экран на основе технологии eBPF — возможность работы со 100 000 правил на скорости до 20 Гбит/с;
- аутентификация посредством «КриптоПро NGate»;
- разработка ПАК Ideco UTM на 96-ядерных процессорах.
Новые возможности Ideco UTM 15
В Ideco UTM 15 появились следующие изменения и дополнения:
- Обновлённая платформа на базе ядра Linux 6.0.5.
- Балансировка трафика на несколько серверов с помощью обратного проксирования (reverse proxy).
- Обработка мультикаст-трафика (IGMP proxy), трафика WCCP (Web Cache Communication Protocol) L2 / L3.
- Интеграция с Aladdin ALD Pro и BaseALT (ранее — Alt Linux).
- Взаимодействие с сервисом «Мультифактор» для обеспечения двухфакторной аутентификации.
- Обработка NTP-запросов ко внешним серверам.
- Ускорение обработки трафика модулями глубокой инспекции (DPI) во многоядерных конфигурациях.
- Отрицание в правилах файрвола: например, теперь вместо пары правил «Россию разрешить» и «все остальные страны запретить» можно сделать одно правило вида «всё, что не Россия, запретить».
- За счёт перехода на новую СУБД ClickHouse удалось значительно сократить размер журналов событий.
- Выгрузка отчётов из раздела «Трафик» в формате CSV.
Рисунок 2. Примеры крупных нововведений Ideco UTM 15
Обозначим отдельно улучшения по части информационной безопасности:
- Сигнатуры для антивируса и IPS от «Лаборатории Касперского» (дополнительные опции, тарифицируются отдельно).
- Аудит действий администраторов.
- Обновлён модуль системы предотвращения вторжений (повышены производительность и надёжность определения трафика).
- Добавлены правила безопасности по GeoIP и по спискам НКЦКИ.
- В контроль приложений добавлены протоколы ADSAnalytic (рекламные трекеры), AdultContent (сервисы распространения порнографии), SRTP. Улучшено определение приложений.
Системные требования Ideco UTM 15
Ideco UTM распространяется как виртуальное устройство или программно-аппаратный комплекс. Требования к аппаратному обеспечению варьируются в зависимости от сетевой нагрузки и используемых сервисов. Минимальные требования Ideco UTM приведены в таблице ниже.
Таблица 1. Минимальные рекомендованные требования для установки Ideco UTM 15 в виде отдельного виртуального устройства
|
Технические характеристики |
Требования |
|
ЦП |
Intel i3 / i5 / i7 / i9 / Xeon с поддержкой SSE 4.2 |
|
Дисковое пространство |
SSD, 150 ГБ или больше, с интерфейсом SATA, mSATA, SAS, NVMe. При использовании почтового сервера нужен дополнительный SSD |
|
ОЗУ |
От 16 ГБ |
|
Сетевые адаптеры |
Две сетевые карты (или два сетевых порта) 100 / 1000 Мбит/с. Рекомендуется использовать карты на чипах Intel. Поддерживаются Realtek, D-Link и другие |
|
Гипервизор |
VMware, Microsoft Hyper-V (2-го поколения), VirtualBox, KVM, Citrix XenServer |
|
Дополнительно |
Обязательна поддержка UEFI. Не поддерживаются программные RAID-контроллеры (интегрированные в чипсет). Для виртуальных машин необходимо использовать фиксированный, а не динамический размер жёсткого диска |
Для установки и работы продукта не требуется предустановленной ОС и дополнительного ПО. Ideco UTM устанавливается на выделенный сервер с загрузочного образа, компакт-диска или USB-накопителя, при этом автоматически создаётся файловая система и устанавливаются все необходимые компоненты.
Основные направления применения Ideco UTM 15
Если ранее система рассматривалась на рынке в большей степени как продукт для небольших компаний (до 1000 сотрудников), то теперь есть примеры развёртывания на крупных площадках (5000–10000 работников) и интеграции с иными СЗИ. Имеется комплекс модулей для защиты периметра и полноценного функционирования в качестве NGFW. Система готова работать «из коробки», предлагается множество предустановленных правил фильтрации.
Покажем нововведения Ideco UTM 15 на иллюстрациях. Начнём с логирования действий системных администраторов.
Рисунок 3. Журнал логирования действий системных администраторов
В новой версии появилось меню онлайн-проверки подозрительных доменов и IP-адресов.
Рисунок 4. Меню проверки доменов
Реализована поддержка протокола WCCP.
Рисунок 5. Настройка работы с протоколом WCCP
Добавлена возможность обработки IGMP-трафика.
Рисунок 6. Проброс мультикаст-трафика
Выводы
Межсетевой экран Ideco UTM 15 может по праву называться полноценной системой класса NGFW, поскольку в нём реализован целый ряд функций безопасности: межсетевой экран, контентная фильтрация, модуль предотвращения вторжений, антивирусная защита и т. д. Система продолжает развиваться, на выпуск новой версии производителю понадобилось лишь 100 дней. Компания «Айдеко» старается поддерживать возможности своего программного продукта в актуальном состоянии, чтобы отвечать новым требованиям рынка и глобальным угрозам информационной безопасности.
