Мы рады представить вам новый большой релиз шлюза безопасности Ideco UTM.
Новая версия включает в себя огромное количество изменений (более 360 выполненных задач).
ГЛАВНЫЕ ИЗМЕНЕНИЯ
НОВЫЙ ФАЙРВОЛ
Сердцем UTM-решений до сих пор остается модуль межсетевого экранирования - файрвол.В ходе работ над новой версией нашего продукта мы пришли к полному переосмыслению создания правил файрвола с точки зрения пользователей. Для этого была проделана большая работа как внутри нашей компании, так и по анализу конкурирующих решений, а также мы пообщались с основными пользователями модуля - системными администраторами.
Сформировавшееся видение мы представляем в нашем релизе.
Основной сущностью правил файрвола в новой версии стали "Объекты" - пришедшие на смену привычным IP-адресам и сетям. Определяемые пользователем объекты могут состоять из IP-адресов и их списков, сетей, диапазонов адресов, принадлежать авторизованным пользователям или группам пользователей. При этом названия объектов удобны для понимания человеком. Например - "Сети офиса на Пушкина", вместо "10.4.1.0/24, 10.5.1.0/24, 10.6.0.0/16". В случае же использования в правилах имен пользователей и групп, администратору не нужно будет беспокоиться о изменении IP-адресов на компьютерах пользователей или авторизации ими дополнительных устройств - все это автоматически будет учитывать файрвол Ideco UTM.
Тем же образом можно задавать время действия правил - учитывая временные отрезки включающие дни недели, "рабочее" и "не рабочее" время и т.п. интервалы.
Правила в едином списке в каждой из доступных редактированию таблиц файрвола (FORWARD, DNAT, INPUT, SNAT) можно приоритезировать в зависимости от необходимости их срабатывания.
Подробности о настройке правил читайте в новой статье документации.
SSL VPN
Новый способ подключения удаленных пользователей к локальной сети посредством VPN-протокола SSTP (Secure Socket Tunneling Protocol - протокол безопасного туннелирования сокетов).Особенностью данного протокола является безопасная авторизация сервера клиентом посредством сертификата и надежное AES-шифрование передаваемого трафика. Но главное - это использование инкапсуляции трафика в HTTPS, благодаря этой особенности SSTP отлично проходит сквозь многократный NAT, файрволы, маршрутизаторы и различные системы фильтрации трафика. Таким образом если ваши пользователи испытывают проблемы при установлении VPN-подключения по протоколу IPsec, вы можете попробовать использовать SSTP.
Протокол поддерживается всеми версиями Windows старше Vista, а также некоторыми моделями роутеров (Mikrotik, Keenetik). Подробности о настройке смотрите в документации.
КВОТЫ ТРАФИКА
С версии Ideco UTM 7.9 при окончании выделенного лимита трафика у пользователя он добавляется в глобальную группу пользователей (объект) "превышена квота". Данную группу же в свою очередь можно использовать во всех правилах фильтрации трафика - файрволе, контент-фильтре, контроле приложений, ограничении скорости.Таким образом администратору становится доступной возможность гибкого управления трафиком пользователей, превысивших определенный лимит. Можно разрешить для них какие-либо ресурсы необходимые для работы (например более приоритетным правилом файрвола) и запретить все - последующим. Либо ограничить доступ к видео-хостингам, торрентам, новостным сайтам и другим "пожирателям трафика". Или уменьшить ширину доступного пользователю интернет-канала, например после превышения установленного дневного лимита.
Возможности модуля позволят вам максимально эффективно использовать интернет-канал, не давая его "монополизировать" слишком активным пользователям, но в то же время не останавливая их работу - обеспечив связь до необходимых ресурсов.
Подробнее о настройке можно прочитать в специальной статье документации.
АДМИНИСТРИРОВАНИЕ СЕРВЕРА
Управление административными пользователями теперь осуществляется из отдельного раздела веб-интерфейса. Там вы сможете создать нужное количество администраторов и реквизиты доступа к веб-интерфейсу Ideco UTM.В новой версии администраторы могут заходить и настраивать сервер одновременно, не мешая друг другу. Подробнее.
НОВАЯ ВЕРСИЯ МОДУЛЯ "КОНТРОЛЬ ПРИЛОЖЕНИЙ"
Для лучшего определения трафика приложений мы обновили как сам DPI-модуль (появившиеся в нем возможности позволят более точно использовать данные статического анализа в определении протоколов), так и сигнатуры для определения приложений.Больше десяти новых протоколов было добавлено в базу. Включая такие популярные, как TikTok, WhatsApp Video, DNSoverHTTPS, DTLS (i.e. TLS over UDP), WireGuard VPN, Zoom.us и другие.
А также в связи с изменениями протоколов и приложений, улучшено определение современных версий Viber, WhatsApp, SnapChat, Hangout and Duo, мобильной версии Facebook Messenger, Spotify и ряда других протоколов.
БЕЗОПАСНОСТЬ
Все используемые в системе пакеты (включая ядро Linux, используемые драйверы и OpenSource-компоненты) были обновлены до последних версий включающих последние патчи безопасности.Мы также обновили модуль антивируса ClamAV, а в систему предотвращения вторжений добавили возможность блокировки функции "DNS поверх HTTPS" для исключения возможности обхода DNS-фильтрации через DNSoverHTTPS (DoH) в современных браузерах и стороннем ПО.
ДРУГИЕ ИЗМЕНЕНИЯ
При работе над релизом было решено более 360 задач. Подробный список изменений доступен в changelog.Мы провели большую работу как непосредственно над оптимизацией работы служб сервера и устранению ошибок, так и над удобством и отзывчивостью веб-интерфейса. В частности полностью переписано "дерево пользователей" - сейчас раздел будет работать быстрее, а в будущих версиях эти изменения помогут нам полностью переработать веб-интерфейс администрирования.
Автоматические обновления для всех пользователей с активной подпиской на обновления будут доступны в течении ближайших одной-двух недель.