ООО «АЙДЕКО» | Защитим ваш сетевой периметр
Скачать
UTM
Получить
Демо

Поддержка
События
Новые версии Ideco UTM

Ideco UTM 7.9. Подробности

Друзья!

Мы рады представить вам новый большой релиз шлюза безопасности Ideco UTM.
Новая версия включает в себя огромное количество изменений (более 360 выполненных задач).

ГЛАВНЫЕ ИЗМЕНЕНИЯ

НОВЫЙ ФАЙРВОЛ

Сердцем UTM-решений до сих пор остается модуль межсетевого экранирования - файрвол.

В ходе работ над новой версией нашего продукта мы пришли к полному переосмыслению создания правил файрвола с точки зрения пользователей. Для этого была проделана большая работа как внутри нашей компании, так и по анализу конкурирующих решений, а также мы пообщались с основными пользователями модуля - системными администраторами.

Сформировавшееся видение мы представляем в нашем релизе.


Основной сущностью правил файрвола в новой версии стали "Объекты" - пришедшие на смену привычным IP-адресам и сетям. Определяемые пользователем объекты могут состоять из IP-адресов и их списков, сетей, диапазонов адресов, принадлежать авторизованным пользователям или группам пользователей. При этом названия объектов удобны для понимания человеком. Например - "Сети офиса на Пушкина", вместо "10.4.1.0/24, 10.5.1.0/24, 10.6.0.0/16". В случае же использования в правилах имен пользователей и групп, администратору не нужно будет беспокоиться о изменении IP-адресов на компьютерах пользователей или авторизации ими дополнительных устройств - все это автоматически будет учитывать файрвол Ideco UTM.

Тем же образом можно задавать время действия правил - учитывая временные отрезки включающие дни недели, "рабочее" и "не рабочее" время и т.п. интервалы.
Правила в едином списке в каждой из доступных редактированию таблиц файрвола (FORWARD, DNAT, INPUT, SNAT) можно приоритезировать в зависимости от необходимости их срабатывания.

Подробности о настройке правил читайте в новой статье документации.

SSL VPN

Новый способ подключения удаленных пользователей к локальной сети посредством VPN-протокола SSTP (Secure Socket Tunneling Protocol - протокол безопасного туннелирования сокетов).

Особенностью данного протокола является безопасная авторизация сервера клиентом посредством сертификата и надежное AES-шифрование передаваемого трафика. Но главное - это использование инкапсуляции трафика в HTTPS, благодаря этой особенности SSTP отлично проходит сквозь многократный NAT, файрволы, маршрутизаторы и различные системы фильтрации трафика. Таким образом если ваши пользователи испытывают проблемы при установлении VPN-подключения по протоколу IPsec, вы можете попробовать использовать SSTP.

Протокол поддерживается всеми версиями Windows старше Vista, а также некоторыми моделями роутеров (Mikrotik, Keenetik). Подробности о настройке смотрите в документации.

КВОТЫ ТРАФИКА

С версии Ideco UTM 7.9 при окончании выделенного лимита трафика у пользователя он добавляется в глобальную группу пользователей (объект) "превышена квота". Данную группу же в свою очередь можно использовать во всех правилах фильтрации трафика - файрволе, контент-фильтре, контроле приложений, ограничении скорости.

Таким образом администратору становится доступной возможность гибкого управления трафиком пользователей, превысивших определенный лимит. Можно разрешить для них какие-либо ресурсы необходимые для работы (например более приоритетным правилом файрвола) и запретить все - последующим. Либо ограничить доступ к видео-хостингам, торрентам, новостным сайтам и другим "пожирателям трафика". Или уменьшить ширину доступного пользователю интернет-канала, например после превышения установленного дневного лимита.

Возможности модуля позволят вам максимально эффективно использовать интернет-канал, не давая его "монополизировать" слишком активным пользователям, но в то же время не останавливая их работу - обеспечив связь до необходимых ресурсов.
Подробнее о настройке можно прочитать в специальной статье документации.

АДМИНИСТРИРОВАНИЕ СЕРВЕРА

Управление административными пользователями теперь осуществляется из отдельного раздела веб-интерфейса. Там вы сможете создать нужное количество администраторов и реквизиты доступа к веб-интерфейсу Ideco UTM.
В новой версии администраторы могут заходить и настраивать сервер одновременно, не мешая друг другу. Подробнее.

НОВАЯ ВЕРСИЯ МОДУЛЯ "КОНТРОЛЬ ПРИЛОЖЕНИЙ"

Для лучшего определения трафика приложений мы обновили как сам DPI-модуль (появившиеся в нем возможности позволят более точно использовать данные статического анализа в определении протоколов), так и сигнатуры для определения приложений.
Больше десяти новых протоколов было добавлено в базу. Включая такие популярные, как TikTok, WhatsApp Video, DNSoverHTTPS, DTLS (i.e. TLS over UDP), WireGuard VPN, Zoom.us и другие.

А также в связи с изменениями протоколов и приложений, улучшено определение современных версий Viber, WhatsApp, SnapChat, Hangout and Duo, мобильной версии Facebook Messenger, Spotify и ряда других протоколов.

БЕЗОПАСНОСТЬ

Все используемые в системе пакеты (включая ядро Linux, используемые драйверы и OpenSource-компоненты) были обновлены до последних версий включающих последние патчи безопасности.

Мы также обновили модуль антивируса ClamAV, а в систему предотвращения вторжений добавили возможность блокировки функции "DNS поверх HTTPS" для исключения возможности обхода DNS-фильтрации через DNSoverHTTPS (DoH) в современных браузерах и стороннем ПО.

ДРУГИЕ ИЗМЕНЕНИЯ

При работе над релизом было решено более 360 задач. Подробный список изменений доступен в changelog.

Мы провели большую работу как непосредственно над оптимизацией работы служб сервера и устранению ошибок, так и над удобством и отзывчивостью веб-интерфейса. В частности полностью переписано "дерево пользователей" - сейчас раздел будет работать быстрее, а в будущих версиях эти изменения помогут нам полностью переработать веб-интерфейс администрирования.

Автоматические обновления для всех пользователей с активной подпиской на обновления будут доступны в течении ближайших одной-двух недель.


Скачать