Обзор возможностей Ideco UTM 15
Дмитрий Хомутов, 16/06/23
Ideco UTM – это межсетевой экран нового поколения (NGFW), включающий в себя все соответствующие этому классу решения модули. Когда-то это было решение для среднего и малого бизнеса – до нескольких тысяч пользователей. Сейчас же это целый комбайн и мощный межсетевой экран, который еще и продолжает активно развиваться. Если вы последний раз смотрели на Ideco UTM больше года назад, то имеет смысл посмотреть на него еще раз, потому что с выпуском 15-й версии продукт сильно изменился в лучшую сторону.
Автор: Дмитрий Хомутов, директор “Айдеко”
Быстрые релизы Ideco UTM стараются как можно быстрее отвечать на новые угрозы. Вызовами 2020 г. стали пандемия и удаленная работа, вызовами 2022 г. – уход иностранных вендоров и массовые атаки на российские компании. Например, в Ideco UTM очень оперативно появилась возможность отражения атак по списку, который предоставляет НКЦКИ.
Стиль Ideco UTM заключаются в том, что защита у продукта доступна сразу из коробки за счет множества предустановленных актуальных правил фильтраций, а также скоростной технической поддержке в онлайн-чате, где инженеры отвечают максимально быстро.
Стоимость решения практически не увеличивается: в 2022 г. впервые за пять лет произошло повышение цен на ПО всего на 10%.
С чем подошли к Ideco UTM 15?
2022 год и начало 2023 г. были богаты для Ideco UTM в плане добавления функциональности.
В 2022 г. полностью была обновлена система отчетности, добавлены правила безопасности по GeoIP и по спискам НКЦКИ, появилась двухфакторная аутентификация для VPNпользователей, обновилась платформа и все модули, появилась динамическая маршрутизация, центральная консоль для управления парком Ideco UTM. Появился также новый агент авторизации и VPN взамен старому.
Уже в I квартале 2023 г. вышло несколько минорных релизов Ideco UTM 14, в которых существенно развился функционал DHCP-сервера, появился сервис интеграции DDNS, к двухфакторной аутентификации через обратный звонок добавились СМС и OTP-токены, появилась возможность просмотра журналов в веб-интерфейсе с разнообразными фильтрами, диагностика состояния сервера и журналы срабатывания отдельных модулей, пополнились категории в контентфильтре.
В I квартале 2023 г. вышел релиз центральной консоли для Ideco UTM 14 и обновилась модель Ideco ФСТЭК до версии 14.3.
Что нового в Ideco UTM 15
Примерно 100 дней прошло с релиза версии Ideco UTM 14 в конце 2022 г., и Айдеко готовит новую версию – Ideco UTM 15. В бета-тестировании принимает участие порядка двухсот реальных серверов.
В случае если заказчик предпочитает только стабильные версии, можно отложить обновление на срок до полугода. Но и пробовать новую версию можно вполне спокойно, поскольку предусмотрена безопасная система отката на предыдущую версию, которая полностью сохранит все данные и настройки.
С января 2023 г. в плане разработки Ideco UTM выполнены больше 600 задач: значительная часть из них принесла новую функциональность, но, конечно, есть и исправление ошибок, рефакторинги, обновления модулей.
Агент Ideco
Активно развивается агент авторизации и VPN, который авторизует пользователей изнутри локальной сети, а если пользователю разрешен удаленный доступ, то авторизует и создает VPN-туннель WireGuard. Новый агент разворачивается через Active Directory, использует МСА с подписями, которым Windows доверяет.
Агент поддерживает также возможности SSO (Single SignOn). Функциональность агента уже в версии 16 расширится.
Новые сигнатуры IPS
В 15-й версии появились сигнатуры системы предотвращения вторжений от "Лаборатории Касперского". Эти сигнатуры создаются и очень часто обновляются большой командой аналитиков и прекрасно дополняют сигнатуры, которые есть в текущей версии, – сигнатуры команды Айдеко, а также компиляцию из источников Open Source и от технологических партнеров по безопасности. Это позволяет существенно улучшить безопасность локальной сети и защитить ее от атак и новых угроз.
Обновление ядра Линукс
В то время как подавляющее большинство решений на российском рынке использует четвертую версию, Ideco UTM 15 работает на ядре 6.05.
Обновление ядра Линукс всегда привносит много исправлений безопасности и обновляет множество компонентов.
Стоит отметить, что большую часть кода составляет ядро Линукс, но разработчики Айдеко вносят в него патчи, изменения, улучшения, исправления, в том числе связанные с безопасностью и с требованиями ФСТЭК России.
Основные нововведения в Ideco UTM 15:
- Появилась поддержка мультикаст-трафика. Чаще всего это применяется для IPTV, интернет-радио и широковещательных сервисов. Появилась возможность настроить EGMP-прокси и интеграция в прокси по протоколу WCCP на уровне L2. То есть можно эффективно использовать Ideco UTM для фильтрации веб-трафика в сетях, где ранее чаще всего использовались решения CISCO.
- Появился аудит действий администраторов, который востребован многими заказчиками, а также соответствует новым требованиям ФСТЭК России.
- Журнал стал работать на базе ClickHouse, что позволяет экономить дисковое пространство за счет сжатия хранимых данных. При этом ускоряется поиск, добавляется разноплановая фильтрация, становится более удобным просмотр многострочных сообщений. В частности, в мониторинге можно будет проверить IP-адрес или домен на нахождение в объектах, которые вы создавали в Ideco UTM либо в базе по GeoIP.
- Обновился VPN-агент, включая улучшение настройки передачи маршрутов, появились профили и некоторые другие возможности.
- Появилась возможность использования отрицания в правилах файрвола: теперь вместо пары "Россию разрешить" и "все остальные страны запретить" можно сделать "все, что не Россия, запретить" одним правилом.
- Добавилась интеграция с системой MULTIFACTOR для двухфакторной аутентификации, где уже поддерживается целый спектр доступных вторых факторов.
- Внесено множество улучшений в части UI/UX. К примеру, можно удобно редактировать объекты сразу из таблицы правил, чтобы не переходить отдельно в объекты. Заметно улучшена адаптивность веб-версии.
Инновационные разработки
Если возможности актуальной версии продукта, который можно скачать с официального сайта, не закрывают потребности проекта, то у Айдеко есть дополнительные решения, разрабатываемые в инновационном режиме, которые позволяют работать в экстремальных условиях: на очень больших скоростях, с большим количеством правил, в интеграции с другими системами.
DPDK и VPP
Параллельно с разработкой основного Ideco UTM разрабатывается и альтернативный вариант продукта, работающий на другом сетевом стеке. Если в основном продукте для обработки трафика используется сетевой стек ядра Линукс, то в альтернативном варианте (который уже в 2023 г. станет основным) задействуется стек на базе технологии DPDK и VPP, то есть обработка сетевого трафика в User Space. Это позволяет совсем исключить сетевой стек ядра ОС и значительно увеличить производительность Ideco UTM, одновременно повысив стабильность и управляемость с точки зрения разработки.
EBPF-Firewall
Технология EBPF (Extended Berkeley Packet Filter) была разработана для улучшения механизмов просмотра и анализа сетевого трафика в реальном времени на уровне ядра Линукс. При этом программы, которые фильтруют, анализируют и изменяют сетевой трафик, не затрагивают работу ядра и не требуют перезагрузки системы.
EBPF используется во многих проектах, в том числе в сетевых стеках, мониторинге и отладке производительности, безопасности, контроле доступа и маршрутизации в ядре Линукс. С применением EBPF в Ideco UTM на практике удалось добиться скорости в 10 Гбит/с при 150 тыс. задействованных правил файрвола. Совсем немногие российские решения могут стабильно работать на таком количестве правил.
Интеграция с КриптоПро NGate
КриптоПро NGate – универсальное высокопроизводительное средство криптографической защиты сетевого трафика (TLSи VPN-сервер). В нескольких проектах была проведена базовая интеграция Ideco UTM и NGate: для пользователей, которые авторизовались на NGate, создаются сессии Ideco UTM, и таким образом можно применять правила фильтрации.
Новое мощное оборудование
Обновилось оборудование для программно-аппаратных комплексов Ideco, оно стало заметно мощнее и производительнее, что будет крайне востребовано для крупномасштабных проектов, связанных с работой в очень больших сетях и в центрах обработки данных.
Модель Ideco LX+ предназначена для предприятий малого и среднего бизнеса, численностью от 1 до 3 тыс. активных пользователей Интернета. В качестве аппаратной платформы данной линейки используются серверы с высокой производительностью и отказоустойчивостью на базе процессоров Intel Xeon Silver 4214R (12 ядер, 24 потока, 2,4 ГГц).
Модель Ideco EX предназначена для крупных компаний, численностью от 3 тыс. активных пользователей Интернета. Она построена на базе процессоров Intel Xeon Gold 6238R (28 ядер, 56 потоков, 2,2/4,0 ГГц). В режиме NGFW (IPS, контентфильтр, контроль приложений, межсетевой экран) на трафике EMIX модель развивает до 5 Гбит/с.
Планы на Ideco UTM 16
Айдеко не раскрывает все планы на 16-ю версию, но они достаточно обширны и связаны с множеством больших проектов, в которых сейчас участвует решение:
- точно можно сказать, что будет обновлена сама платформа;
- скорее всего, на базе 16-й версии появится отдельный релиз в производительной редакции на базе VPP и DPD, доступный для установки всем желающим;
- появятся новые интеграции с сервисами аутентификации пользователей, включая ALD Pro, SAMBA, RADIUS и аналогами Microsoft Active Directory;
- добавится возможность работы с большими пользовательскими каталогами с десятками тысяч групп безопасности;
- как обычно, запланировано значительное улучшение UI/UX.