Ideco UTM – это межсетевой экран нового поколения (NGFW), включающий в себя все соответствующие этому классу решения модули. Когда-то это было решение для среднего и малого бизнеса – до нескольких тысяч пользователей. Сейчас же это целый комбайн и мощный межсетевой экран, который еще и продолжает активно развиваться. Если вы последний раз смотрели на Ideco UTM больше года назад, то имеет смысл посмотреть на него еще раз, потому что с выпуском 15-й версии продукт сильно изменился в лучшую сторону.

Автор: Дмитрий Хомутов, директор “Айдеко”

Быстрые релизы Ideco UTM стараются как можно быстрее отвечать на новые угрозы. Вызовами 2020 г. стали пандемия и удаленная работа, вызовами 2022 г. – уход иностранных вендоров и массовые атаки на российские компании. Например, в Ideco UTM очень оперативно появилась возможность отражения атак по списку, который предоставляет НКЦКИ.

Стиль Ideco UTM заключаются в том, что защита у продукта доступна сразу из коробки за счет множества предустановленных актуальных правил фильтраций, а также скоростной технической поддержке в онлайн-чате, где инженеры отвечают максимально быстро.

Стоимость решения практически не увеличивается: в 2022 г. впервые за пять лет произошло повышение цен на ПО всего на 10%.

С чем подошли к Ideco UTM 15?

2022 год и начало 2023 г. были богаты для Ideco UTM в плане добавления функциональности.

В 2022 г. полностью была обновлена система отчетности, добавлены правила безопасности по GeoIP и по спискам НКЦКИ, появилась двухфакторная аутентификация для VPNпользователей, обновилась платформа и все модули, появилась динамическая маршрутизация, центральная консоль для управления парком Ideco UTM. Появился также новый агент авторизации и VPN взамен старому.

Уже в I квартале 2023 г. вышло несколько минорных релизов Ideco UTM 14, в которых существенно развился функционал DHCP-сервера, появился сервис интеграции DDNS, к двухфакторной аутентификации через обратный звонок добавились СМС и OTP-токены, появилась возможность просмотра журналов в веб-интерфейсе с разнообразными фильтрами, диагностика состояния сервера и журналы срабатывания отдельных модулей, пополнились категории в контентфильтре.

В I квартале 2023 г. вышел релиз центральной консоли для Ideco UTM 14 и обновилась модель Ideco ФСТЭК до версии 14.3.

Что нового в Ideco UTM 15

Примерно 100 дней прошло с релиза версии Ideco UTM 14 в конце 2022 г., и Айдеко готовит новую версию – Ideco UTM 15. В бета-тестировании принимает участие порядка двухсот реальных серверов.

В случае если заказчик предпочитает только стабильные версии, можно отложить обновление на срок до полугода. Но и пробовать новую версию можно вполне спокойно, поскольку предусмотрена безопасная система отката на предыдущую версию, которая полностью сохранит все данные и настройки.

С января 2023 г. в плане разработки Ideco UTM выполнены больше 600 задач: значительная часть из них принесла новую функциональность, но, конечно, есть и исправление ошибок, рефакторинги, обновления модулей.

Агент Ideco

Активно развивается агент авторизации и VPN, который авторизует пользователей изнутри локальной сети, а если пользователю разрешен удаленный доступ, то авторизует и создает VPN-туннель WireGuard. Новый агент разворачивается через Active Directory, использует МСА с подписями, которым Windows доверяет.

Агент поддерживает также возможности SSO (Single SignOn). Функциональность агента уже в версии 16 расширится.

Новые сигнатуры IPS

В 15-й версии появились сигнатуры системы предотвращения вторжений от "Лаборатории Касперского". Эти сигнатуры создаются и очень часто обновляются большой командой аналитиков и прекрасно дополняют сигнатуры, которые есть в текущей версии, – сигнатуры команды Айдеко, а также компиляцию из источников Open Source и от технологических партнеров по безопасности. Это позволяет существенно улучшить безопасность локальной сети и защитить ее от атак и новых угроз.

Обновление ядра Линукс

В то время как подавляющее большинство решений на российском рынке использует четвертую версию, Ideco UTM 15 работает на ядре 6.05.

Обновление ядра Линукс всегда привносит много исправлений безопасности и обновляет множество компонентов.

Стоит отметить, что большую часть кода составляет ядро Линукс, но разработчики Айдеко вносят в него патчи, изменения, улучшения, исправления, в том числе связанные с безопасностью и с требованиями ФСТЭК России.

Основные нововведения в Ideco UTM 15:

1. Появилась поддержка мультикаст-трафика. Чаще всего это применяется для IPTV, интернет-радио и широковещательных сервисов. Появилась возможность настроить EGMP-прокси и интеграция в прокси по протоколу WCCP на уровне L2. То есть можно эффективно использовать Ideco UTM для фильтрации веб-трафика в сетях, где ранее чаще всего использовались решения CISCO.
2. Появился аудит действий администраторов, который востребован многими заказчиками, а также соответствует новым требованиям ФСТЭК России.
3. Журнал стал работать на базе ClickHouse, что позволяет экономить дисковое пространство за счет сжатия хранимых данных. При этом ускоряется поиск, добавляется разноплановая фильтрация, становится более удобным просмотр многострочных сообщений. В частности, в мониторинге можно будет проверить IP-адрес или домен на нахождение в объектах, которые вы создавали в Ideco UTM либо в базе по GeoIP.
4. Обновился VPN-агент, включая улучшение настройки передачи маршрутов, появились профили и некоторые другие возможности.
5. Появилась возможность использования отрицания в правилах файрвола: теперь вместо пары "Россию разрешить" и "все остальные страны запретить" можно сделать "все, что не Россия, запретить" одним правилом.
6. Добавилась интеграция с системой MULTIFACTOR для двухфакторной аутентификации, где уже поддерживается целый спектр доступных вторых факторов.
7. Внесено множество улучшений в части UI/UX. К примеру, можно удобно редактировать объекты сразу из таблицы правил, чтобы не переходить отдельно в объекты. Заметно улучшена адаптивность веб-версии.

Инновационные разработки

Если возможности актуальной версии продукта, который можно скачать с официального сайта, не закрывают потребности проекта, то у Айдеко есть дополнительные решения, разрабатываемые в инновационном режиме, которые позволяют работать в экстремальных условиях: на очень больших скоростях, с большим количеством правил, в интеграции с другими системами.

DPDK и VPP

Параллельно с разработкой основного Ideco UTM разрабатывается и альтернативный вариант продукта, работающий на другом сетевом стеке. Если в основном продукте для обработки трафика используется сетевой стек ядра Линукс, то в альтернативном варианте (который уже в 2023 г. станет основным) задействуется стек на базе технологии DPDK и VPP, то есть обработка сетевого трафика в User Space. Это позволяет совсем исключить сетевой стек ядра ОС и значительно увеличить производительность Ideco UTM, одновременно повысив стабильность и управляемость с точки зрения разработки.

EBPF-Firewall

Технология EBPF (Extended Berkeley Packet Filter) была разработана для улучшения механизмов просмотра и анализа сетевого трафика в реальном времени на уровне ядра Линукс. При этом программы, которые фильтруют, анализируют и изменяют сетевой трафик, не затрагивают работу ядра и не требуют перезагрузки системы.

EBPF используется во многих проектах, в том числе в сетевых стеках, мониторинге и отладке производительности, безопасности, контроле доступа и маршрутизации в ядре Линукс. С применением EBPF в Ideco UTM на практике удалось добиться скорости в 10 Гбит/с при 150 тыс. задействованных правил файрвола. Совсем немногие российские решения могут стабильно работать на таком количестве правил.

Интеграция с КриптоПро NGate

КриптоПро NGate – универсальное высокопроизводительное средство криптографической защиты сетевого трафика (TLSи VPN-сервер). В нескольких проектах была проведена базовая интеграция Ideco UTM и NGate: для пользователей, которые авторизовались на NGate, создаются сессии Ideco UTM, и таким образом можно применять правила фильтрации.

Новое мощное оборудование

Обновилось оборудование для программно-аппаратных комплексов Ideco, оно стало заметно мощнее и производительнее, что будет крайне востребовано для крупномасштабных проектов, связанных с работой в очень больших сетях и в центрах обработки данных.

Модель Ideco LX+ предназначена для предприятий малого и среднего бизнеса, численностью от 1 до 3 тыс. активных пользователей Интернета. В качестве аппаратной платформы данной линейки используются серверы с высокой производительностью и отказоустойчивостью на базе процессоров Intel Xeon Silver 4214R (12 ядер, 24 потока, 2,4 ГГц).

Модель Ideco EX предназначена для крупных компаний, численностью от 3 тыс. активных пользователей Интернета. Она построена на базе процессоров Intel Xeon Gold 6238R (28 ядер, 56 потоков, 2,2/4,0 ГГц). В режиме NGFW (IPS, контентфильтр, контроль приложений, межсетевой экран) на трафике EMIX модель развивает до 5 Гбит/с.

Планы на Ideco UTM 16

Айдеко не раскрывает все планы на 16-ю версию, но они достаточно обширны и связаны с множеством больших проектов, в которых сейчас участвует решение:

• точно можно сказать, что будет обновлена сама платформа;
• скорее всего, на базе 16-й версии появится отдельный релиз в производительной редакции на базе VPP и DPD, доступный для установки всем желающим;
• появятся новые интеграции с сервисами аутентификации пользователей, включая ALD Pro, SAMBA, RADIUS и аналогами Microsoft Active Directory;
• добавится возможность работы с большими пользовательскими каталогами с десятками тысяч групп безопасности;
• как обычно, запланировано значительное улучшение UI/UX.