Сертификат AM Test Lab
Номер сертификата: 300
Дата выдачи: 21.08.2020
Срок действия: 21.08.2025
- Введение
- Возможности, реализованные в новой версии Ideco UTM 8
- Системные требования Ideco UTM 8
- Обновление до версии Ideco UTM 8
- Установка и первичная настройка Ideco UTM 8
- Работа с Ideco UTM 8
- 6.1. Управление пользователями
- 6.2. Мониторинг состояния сети и активности пользователей средствами Ideco UTM 8
- 6.3. Правила доступа
- 6.4. Сервисы, предназначенные для управления сервером
- 6.5. Генерация отчётов
- 6.6. Терминал
- Выводы
Введение
Ideco UTM 8 — универсальный шлюз безопасности в программном исполнении. Продукт включает в себя такие механизмы безопасности, как межсетевое экранирование, предотвращение вторжений (IPS), фильтрация на уровне приложений и почты, антивирусная защита, VPN. Ideco UTM 8 обеспечивает активную безопасность сетевого периметра за счёт блокирования шифровальщиков, майнеров, командных серверов бот-сетей, а также недоверенных IP-адресов, выявленных по репутации и местоположению.
Ideco UTM 8 предназначен для применения в коммерческих организациях, государственных и муниципальных учреждениях с целью обеспечить импортозамещение зарубежных СЗИ (Ideco UTM зарегистрирован в Едином реестре российских программ для электронных вычислительных машин и баз данных под номером 329). На конец 2020 года запланирована сертификация во ФСТЭК России по классу А4/Б4 (соответствует профилям защиты ИТ.МЭ.А4.ПЗ и ИТ.МЭ.Б4.ПЗ) и оценочному уровню доверия 4 (ОУД4).
Возможности, реализованные в новой версии Ideco UTM 8
Новая версия Ideco UTM 8 основана на ядре Linux 5.4.17 и устанавливается на сервер или на виртуальную машину.
В Ideco UTM 8 полностью обновлён веб-интерфейс администратора, внедрена новая реализация балансировки и резервирования каналов. Теперь администратор может формировать правила управления трафиком в маршрутах по источнику, указывая объекты (включая пользователей и группы). Обновлённые правила межсетевого экрана применяются автоматически без разрыва текущих соединений, в отличие от Ideco UTM 7.9.
Для сетевой диагностики в веб-интерфейс администратора Ideco UTM 8 добавлен терминал, поддерживающий команды ping, mtr, host, tcpdump и т. д.
Также в Ideco UTM 8 полностью обновлены модули системы предотвращения вторжений (IPS), межсетевого экрана для веб-приложений (WAF), прокси-сервера.
Системные требования Ideco UTM 8
Для работы Ideco UTM 8 необходимо наличие на сервере UEFI (Unified Extensible Firmware Interface) — интерфейса между операционной системой и микропрограммами, пришедшего на замену классическому BIOS.
Производитель советует применять чипсеты, контроллеры, сетевые карты фирм Intel и Broadcom. Минимальное число сетевых адаптеров — 2. Процессор сервера должен поддерживать инструкции SSE 4.2. Производительность сервера зависит от объёма обрабатываемого трафика и механизмов безопасности Ideco UTM 8, задействованных на нём.
Таблица 1. Минимальные характеристики сервера для Ideco UTM 8 в зависимости от числа пользователей в сети
Количество пользователей | |||||
25 | 50-200 | 200-500 | 1000 | 2000 | |
Модель процессора | Intel Pentium Gold G5400 или аналогичный | Intel i3 8100 или аналогичный | Intel i5, i7, Xeon E3 от 3 ГГц или аналогичный | Intel Xeon E3, E5 или аналогичный | Intel Xeon E5 или аналогичный 8-ядерный |
Объём оперативной памяти | 8 ГБ | 8 ГБ | 16 ГБ | 16 ГБ | 32 ГБ |
Дисковая подсистема | 64 ГБ | 64 ГБ | 500 ГБ | 2x1000 ГБ, аппаратный RAID* либо SSD 1 ГБ | 2x1000 ГБ, аппаратный RAID* либо SSD 1 ГБ |
* Встроенные в материнские платы программные и полуаппаратные RAID-контроллеры не поддерживаются
Ideco UTM 8 поддерживает гипервизоры Microsoft Hyper-V 2-го поколения (с отключённым SecurityBoot), VMware, VirtualBox, KVM, Citrix XenServer.
Обновление до версии Ideco UTM 8
В связи с обновлением системных пакетов автоматический апгрейд Ideco UTM 7.9 до версии 8 не представляется возможным. Для удобства администрирования предусмотрена миграция настроек путём сохранения их резервной копии и последующего восстановления в Ideco UTM 8.
Установка и первичная настройка Ideco UTM 8
Установка Ideco UTM 8 осуществляется с образа диска. Предварительно выполняется проверка аппаратных характеристик сервера. Инсталляционный процесс включает в себя выбор системного времени и локального сетевого интерфейса, подготовку дискового пространства и копирование системных файлов на диск. После завершения установки и перезагрузки сервера администратору отображаются информационное окно (рис. 1) и интерфейс изменения сетевых настроек и управления электропитанием (рис. 2).
Рисунок 1. Информация о Ideco UTM 8, отображаемая на сервере после загрузки
Рисунок 2. Управление некоторыми параметрами Ideco UTM 8 через консоль администратора на сервере
Основная настройка Ideco UTM 8 и работа с ним осуществляются через интерфейс администратора в веб-браузере.
Рисунок 3. Интерфейс администратора Ideco UTM 8
По умолчанию веб-интерфейс доступен только из локальной сети, однако специальная настройка позволит администратору подключаться и извне.
Рисунок 4. Изменение параметров администрирования Ideco UTM 8 — доступ из внешней сети разрешён
При первом подключении к веб-интерфейсу необходимо зарегистрировать сервер Ideco UTM 8. Регистрация осуществляется в личном кабинете на сайте my.ideco.ru. При регистрации сервера выдаётся бесплатная пробная лицензия на 40 дней, охватывающая все модули и техническую поддержку Ideco UTM 8, а также обеспечение авторизации до 10 000 пользователей.
Рисунок 5. Регистрация нового сервера Ideco UTM 8
Генерация токена сервера происходит автоматически.
По завершении настройки лицензии в личном кабинете на сайте «Айдеко» отобразятся доступные серверы.
Рисунок 6. Управление лицензиями Ideco UTM 8 в личном кабинете пользователя продуктов «Айдеко»
В веб-интерфейсе администратора Ideco UTM 8 доступна подробная информация о настроенной лицензии и доступных модулях Ideco UTM 8.
Рисунок 7. Параметры лицензии Ideco UTM 8 в веб-интерфейсе администратора
Работа с Ideco UTM 8
Управление пользователями
Пользователи в интерфейсе управления Ideco UTM 8 отображаются в виде дерева и для удобства администрирования и наследования параметров могут быть организованы в группы. При этом уровень вложенности групп не ограничен.
Рисунок 8. Раздел «Пользователи» в веб-интерфейсе Ideco UTM 8. Добавление новых пользователей в группу «Бухгалтерия» и настройка основных параметров для неё
Ideco UTM 8 поддерживает автоматическое создание пользователей с авторизацией по IP-адресу: адреса задаются диапазоном или при подключении нового устройства. Например, администратор может создать группу для сотрудников, подключающихся к сети Wi-Fi, назначить им квоту по объёму трафика и ограничить скорость подключения.
Рисунок 9. Создание новых пользователей для группы «Бухгалтерия» по IP-адресу в веб-интерфейсе Ideco UTM 8
Квоты создаются в одноимённом подразделе секции «Правила доступа». Веб-интерфейс Ideco UTM 8 позволяет просматривать, устанавливать и увеличивать квоту сотрудника в случае использования лимитов трафика.
Рисунок 10. Подраздел «Квоты» в веб-интерфейсе Ideco UTM 8, создание нового ограничения входящего трафика для пользователя
Рисунок 11. Назначение квоты по входящему трафику для группы «Бухгалтерия» в веб-интерфейсе Ideco UTM 8
Мониторинг состояния сети и активности пользователей средствами Ideco UTM 8
Ideco UTM 8 предоставляет администратору подробную информацию об активности пользователей в контролируемой сети, авторизации и VPN-подключениях.
Рисунок 12. Активные сессии пользователей в Ideco UTM 8
В разделе «Мониторинг» доступны электронные журналы модулей Ideco UTM 8, благодаря которым администратор может отследить активность последних или выявить ошибки в случае их возникновения.
Рисунок 13. Доступные журналы модулей Ideco UTM 8, записи отображаются при нажатии на соответствующую категорию
Для анализа загрузки процессора, оперативной памяти и интерфейсов сервера, а также активности пользователей администратору предоставляются графики загруженности. Ideco UTM 8 хранит и отображает информацию за последние 3 месяца.
Рисунок 14. Графики загруженности сервера Ideco UTM 8
Монитор трафика предоставляет администратору перечень активных пользователей с указанием сетевых параметров — IP-адресов и протоколов.
Рисунок 15. Монитор трафика, проходящего через Ideco UTM 8
В Ideco UTM 8 реализована поддержка управления по протоколу SNMP v3.
Рисунок 16. Настройка параметров SNMP для управления Ideco UTM 8
Ideco UTM 8 для интеграции с SIEM-системой поддерживает передачу журнала событий на удалённый сервер по протоколу Syslog.
Рисунок 17. Настройка параметров Syslog для передачи журнала событий Ideco UTM 8
В Ideco UTM 8 встроена интеграция с системой мониторинга Zabbix. Поддерживаются два режима: активный и пассивный. В активном режиме Ideco UTM 8 инициирует соединение с Zabbix-сервером, в пассивном — наоборот.
Рисунок 18. Параметры Zabbix-агента в Ideco UTM 8
Контроль сетевого трафика пользователей
Межсетевой экран, встроенный в Ideco UTM 8, предназначен для ограничения трафика пользователей, проходящего через сервер из локальной сети или в неё. Компонент анализирует заголовки пакетов и применяет глобальные правила управления трафиком (сетевые протоколы, порты, IP-адреса и т. д.). Заметим, что межсетевой экран не предназначен для решения задач по контролю доступа пользователей к ресурсам сети «Интернет» на основе URL-адреса, доменного имени или типа контента. С этими задачами лучше справится контент-фильтр Ideco UTM 8.
Рисунок 19. Межсетевой экран в Ideco UTM 8
Модуль контроля приложений выполняет глубокий анализ сетевого трафика и интеллектуальное распознавание протоколов прикладного уровня (L7) за счёт сигнатурного анализа. Модуль позволяет блокировать анонимные сетевые соединения, средства удалённого подключения, сетевые игры, майнинговые системы, сервисы видеотрансляций.
Рисунок 20. Правила фильтрации для модуля контроля приложений, встроенного в Ideco UTM 8
Контентная фильтрация в Ideco UTM 8 реализована на основе данных о веб-трафике, получаемых от встроенного прокси-сервера, что позволяет блокировать доступ к различным ресурсам сети «Интернет». Механизм контентной фильтрации заключается в проверке адреса, запрашиваемого пользователем, или отдельной страницы сайта на наличие в списках запрещённых ресурсов. Списки, в свою очередь, поделены на категории для удобства администрирования. Ideco UTM 8 предлагает 145 встроенных категорий сайтов, включающих более 500 млн URL-адресов, обновляемых автоматически.
Рисунок 21. Правила контентной фильтрации в Ideco UTM 8
Встроенные базы контент-фильтра доступны при подписке на обновления в enterprise-лицензии. Модуль контент-фильтрации может работать и без такой подписки (в этом случае администратору предоставляются только пользовательские категории).
Администратору Ideco UTM 8 также предоставляется инструмент ограничения скорости входящего интернет-трафика для зарегистрированных пользователей. Ограничения настраиваются как для группы учётных записей, так и индивидуально для конкретного сотрудника. При групповом ограничении скорость делится между всеми выбранными пользователями.
Рисунок 22. Правило, ограничивающее скорость входящего трафика для группы «Бухгалтерия», в Ideco UTM 8
Модуль антивирусной фильтрации в Ideco UTM 8 заблаговременно настроен и не требует ручного конфигурирования. Доступно 2 ядра: open source-программа ClamAV и «Антивирус Касперского», предоставляемый по отдельной платной лицензии.
Рисунок 23. Модуль антивирусной проверки трафика в Ideco UTM 8
Модуль предотвращения вторжений блокирует сетевой трафик троянских программ, ботнетов, торрент-трекеров, шпионских программ, клиентов P2P-сетей, анонимайзеров, сетей TOR и т. д.
Рисунок 24. Журнал модуля предотвращения вторжений в Ideco UTM 8
Правила модуля предотвращения вторжений предустановлены и доступны для просмотра и отключения / включения на вкладке «Правила».
Рисунок 25. Правила модуля предотвращения вторжений в Ideco UTM 8
Ideco UTM 8 позволяет отключать определённые правила и не проводить по ним проверку. Исключения настраиваются по идентификаторам правил.
Рисунок 26. Список правил, игнорируемых модулем предотвращения вторжений, в Ideco UTM 8
На вкладке «Настройки» содержатся параметры модуля предотвращения вторжений — контролируемые локальные подсети и срок хранения записей электронного журнала.
Рисунок 27. Настройки параметров модуля предотвращения вторжений в Ideco UTM 8
Администратор может самостоятельно описывать объекты для их использования при формировании правил межсетевого экрана и контент-фильтра, задавая им удобочитаемые названия.
Рисунок 28. Объекты, используемые для формирования правил фильтрации и межсетевого экранирования в Ideco UTM 8
В Ideco UTM 8 количество учётных записей с правами на доступ к настройкам и администрирование сервера не ограничено. Допускается корректировать список администраторов, а также предоставлять им удалённый доступ по протоколу SSH.
Рисунок 29. Настройка учётных записей администраторов Ideco UTM 8
Сервисы, предназначенные для управления сервером Ideco UTM 8
Ideco UTM 8 поддерживает несколько типов авторизации пользователей. Во-первых, возможна верификация устройства, с которого сотрудник выходит в сеть, по IP- и / или MAC-адресу. Этот вариант включается в общих настройках конкретной учётной записи. IP-адрес устройства, с которого пользователь будет получать доступ в сеть «Интернет», назначается администратором вручную или автоматически из подсети основного локального интерфейса. Для одной учётной записи можно авторизовать по IP-адресу только одно устройство.
Рисунок 30. Настройка параметров авторизации пользователей в Ideco UTM 8
Для получения доступа к локальной сети извне Ideco UTM 8 поддерживает VPN-авторизацию. Доступно пять протоколов туннельных соединений: PPTP, PPPoE, IKEv2/IPsec, SSTP, L2TP/IPsec. Производитель не рекомендует использовать первый из перечисленных, поскольку тот не отвечает современным требованиям безопасности и поддерживается только ради совместимости с устаревшими операционными системами и оборудованием, а также для авторизации в локальной сети, где нет требований к строгому шифрованию трафика. Настройка VPN осуществляется в несколько нажатий мышью, при этом для IKEv2/IPsec, SSTP автоматически применяются валидные сертификаты Let’s Encrypt, что позволяет, в свою очередь, упростить настройку на клиентской стороне без необходимости установки сторонних доверенных сертификатов.
Рисунок 31. Параметры VPN-авторизации пользователей в Ideco UTM 8
Ideco UTM 8 поддерживает одностороннюю синхронизацию со службой каталогов Microsoft Active Directory. В этом случае аутентификация пользователей осуществляется средствами AD по протоколам Kerberos / NTLM и журналам безопасности контроллеров домена. Последний способ весьма редок, если не единичен, среди российских продуктов.
Рисунок 32. Настройка параметров Active Directory для синхронизации списка пользователей с Ideco UTM 8
В верхнем правом углу подраздела «Сетевые интерфейсы» секции «Сервисы» администратор может задать локальные и внешние интерфейсы и протоколы, используемые при подключении к провайдеру.
Рисунок 33. Настройка сетевых интерфейсов сервера Ideco UTM 8
В Ideco UTM 8 предусмотрены балансировка и резервирование каналов при подключении к нескольким интернет-провайдерам.
Рисунок 34. Балансировка трафика между несколькими подключениями на сервере Ideco UTM 8
На случай отключения основного канала можно предусмотреть прохождение сетевого трафика через запасной.
Рисунок 35. Основной и резервный каналы сервера Ideco UTM 8
Ideco UTM 8 позволяет указывать сеть источника прямо в маршруте, что даёт преимущество по сравнению с некоторыми другими традиционными системами маршрутизации. В качестве источника могут выступать не только сети, но и пользователи либо группы последних — вне зависимости от их меняющихся IP-адресов и различных устройств.
Рисунок 36. Создание статического маршрута через Ideco UTM 8
Для автоматического создания пользователя с возможностью авторизации по IP-адресу для устройства, пытающегося получить доступ к сети «Интернет» через Ideco UTM 8, предусмотрен модуль обнаружения устройств. Он работает в пассивном режиме, не осуществляя сканирования локальной сети. Новые пользователи, имеющие соответствующие IP-адреса устройств, будут добавлены в выделенную администратором группу.
Рисунок 37. Пользователи из заданных подсетей будут автоматически добавлены в группу «Бухгалтерия» при попытке получить доступ к сети «Интернет» через Ideco UTM 8
Прокси-сервер Ideco UTM 8 по умолчанию настроен для прозрачной работы с веб-трафиком пользователей. Продукт осуществляет кеширование потоков данных в оперативной памяти сервера. Как правило, этого достаточно, однако администратор может вручную перевести кеширование трафика на жёсткий диск.
Допускается настраивать прямые подключения к прокси-серверу, указав IP-адрес и порт сервера Ideco UTM 8. Эти адрес и порт задаются на устройствах сети, трафик которых нужно пропускать через прокси.
Рисунок 38. Настройки модуля проксирования в Ideco UTM 8
Модуль прокси также играет роль мастер-службы для сервисов Ideco UTM 8, связанных с обработкой, контролем и учётом веб-трафика (антивирус, сервис отчётности по трафику пользователей, контент-фильтр).
Благодаря технологии обратного проксирования (reverse proxy) появляется возможность переводить трафик из интернета в локальную сеть. Данный механизм применяется для предоставления доступа ко внутренним веб-ресурсам извне. Также он позволяет перенаправлять все HTTP-запросы на HTTPS и публиковать сервисы Microsoft с авторизацией (например, Outlook Web Access).
Рисунок 39. Создание правила публикации для обратного проксирования в Ideco UTM 8
Служба DNS в Ideco UTM 8 позволяет задать для внешних сетей DNS-серверы, через которые принудительно будут разрешаться все интернет-имена, запрашиваемые пользователями локальной сети. Дополнительно можно назначить сторонние серверы с указанием конкретных DNS-зон, которые будут ими обслуживаться («forward-зоны»).
Ideco UTM 8 также может перехватывать DNS-обращения к сторонним серверам, указанным пользователями на рабочих станциях с целью обхода блокировок веб-ресурсов.
Рисунок 40. Настройки службы DNS в Ideco UTM 8
В Ideco UTM 8 также есть DHCP-сервер, позволяющий автоматически назначать IP-адреса сетевым устройствам в локальной сети.
Рисунок 41. Параметры DHCP-сервера в Ideco UTM 8
Модуль поддержки IPsec, входящий в состав Ideco UTM 8, предназначен для организации VPN-подключений по соответствующему протоколу. Администратор может настроить межсайтовую (site-to-site) VPN между сервером Ideco UTM 8 и сторонними активными сетевыми устройствами, а также клиентскую (client-to-site) VPN для подключения пользователей. Разделяются следующие соединения: главный офис, филиалы, устройства.
«Филиалы» и «главный офис» позволяют объединять локальные сети нескольких серверов Ideco UTM 8. Для этого продукт из главного офиса должен иметь публичный адрес в сети «Интернет» и принимать подключения от других серверов Ideco UTM 8 и рабочих станций. Филиал подключается к главному офису и, как правило, не имеет публичного адреса.
Рисунок 42. Настройка взаимодействия между филиалами организации с помощью модуля IPsec в Ideco UTM 8
В Ideco UTM 8 впервые добавлена панель управления SSL-сертификатами.
Рисунок 43. Панель управления SSL-сертификатами в Ideco UTM 8
Ideco UTM 8 поддерживает автоматическое инкрементальное обновление — загружаются только изменённые данные.
Рисунок 44. Панель автоматических обновлений в Ideco UTM 8
Ideco UTM 8 обеспечивает следующие типы автоматического резервного копирования: на локальный жёсткий диск, а также в сетевое файловое хранилище по протоколу FTP или CIFS.
Рисунок 45. Резервные копии Ideco UTM 8, созданные автоматически по расписанию
Через веб-интерфейс администратор может отправить на сервер Ideco UTM 8 команды управления питанием: перезагрузка и выключение.
Рисунок 46. Управление питанием сервера Ideco UTM 8
Генерация отчётов
Ideco UTM 8 автоматически генерирует отчёты по следующим параметрам: посещаемые сайты, активность пользователей, категории сетевого трафика. Во всех отчётах доступны фильтрация и временная градация.
Рисунок 47. Отчёт Ideco UTM 8 по посещаемости сайтов
Рисунок 48. Отчёт Ideco UTM 8 по активности пользователей
Рисунок 49. Отчёт Ideco UTM 8 по категориям трафика
Журнал событий содержит сводную информацию по всем отчётам.
Рисунок 50. Журнал событий Ideco UTM 8, сформированный по активности пользователей
Терминал
Для сетевой диагностики и получения журналов с сервера Ideco UTM 8 в новой версии продукта впервые добавлен терминал — эмулятор интерфейса командной строки. Терминал поддерживает сетевые команды Linux.
Рисунок 51. Терминал интерфейса командной строки в Ideco UTM 8
Выводы
Ideco UTM 8 — универсальный шлюз безопасности, который успешно выполняет поставленные перед ним задачи. Разработчики продолжают развивать свой продукт, добавляя в него новые функции по обеспечению безопасности. На наш взгляд, веб-интерфейс Ideco UTM 8 по сравнению с предыдущей версией стал более удобным и интуитивно понятным. Для работы с продуктом достаточно базовых знаний об администрировании сетевого оборудования, многие модули Ideco UTM 8 запускаются будучи уже настроенными. На уровне L7 предусмотрена блокировка различного типа трафика, начиная от видеостриминговых сервисов и заканчивая TOR.
Ideco UTM 8 имеет гибкую схему лицензирования, позволяющую потребителю подобрать оптимальную для своей сети защиту.
Достоинства:
- Отечественный продукт, имеющий соответствующие сертификаты безопасности и регистрацию в реестре Минкомсвязи.
- Быстрое развёртывание, поддержка как аппаратных, так и виртуальных платформ.
- Обновлённый веб-интерфейс имеет подробное справочное описание по каждому механизму безопасности.
- Предусмотрена урезанная версия консоли администратора на сервере Ideco UTM 8.
- Техническая поддержка в режиме 24х7 и чат со специалистом ТП непосредственно из веб-интерфейса.
- Автоматическое создание новых учётных записей пользователей по IP-адресу устройства.
- Интеграция с Active Directory.
- Поддержка протокола Syslog и интеграции с системой мониторинга Zabbix.
- Фильтрация трафика по источнику.
- Правила межсетевого экрана теперь применяются автоматически без разрыва текущих соединений.
- Полностью переписаны некоторые модули безопасности.
- Блокировка сетевого трафика на уровне L7.
Недостатки:
- Администратор не может управлять настройками антивирусов.
- Администратор не может самостоятельно задавать сигнатуры IPS.
- Отсутствует шифрование по ГОСТу.
- Отсутствует функциональность по обнаружению утечек информации (DLP).
Реестр сертифицированных продуктов »