Новости

Релиз Ideco ICS 6.9 Подробности

В первый месяц нового 2017 года мы рады представить вам обновленную версию шлюза безопасности Ideco ICS.

Работа над этой версией продолжалась более трех месяцев и включала в себя разработку новой функциональности и полностью переписанных модулей, тщательное тестирование, в том числе бета-тестирование в сетях с большим количеством пользователей и разнообразных устройств.

НОВЫЕ ВОЗМОЖНОСТИ

НОВЫЙ МОДУЛЬ ИНТЕГРАЦИИ С ACTIVE DIRECTORY


В новой версии были переписаны все модули, отвечающие за интеграцию Ideco ICS с Microsoft Active Directory:
  • Вход в домен. Теперь для присоединения Ideco ICS к домену достаточно прав обычного пользователя.
  • Импорт пользователей. Импортировать LDAP-группы и группы безопасности Active Directory стало гораздо удобнее. Кроме того импорт большого количества пользователей будет осуществлен в несколько раз быстрее, чем раньше. Данная возможность была протестирована в доменах с более чем 20 000 пользователей.
  • Прозрачная Single Sign-On авторизация. В новой версии для авторизации пользователей используется безопасный протокол Kerberos. Прозрачная авторизация пользователей возможна как при использовании Ideco ICS в качестве основного шлюза, так и в схеме с прямыми подключениями к прокси-серверу.
Статья по настройке интеграции в документации.


Настройка присоединения Ideco ICS к домену Active Directory.

HTTPS-ФИЛЬТРАЦИЯ БЕЗ ПОДМЕНЫ СЕРТИФИКАТОВ


Современные решения для контентной фильтрации зашифрованного HTTPS-трафика, как правило, используют метод ssl-bump. Сервер расшифровывает HTTPS-трафик, производит его контентную фильтрацию, а затем снова зашифровывает трафик для передачи пользователю собственным сертификатом. При этом обязательна настройка доверия этому сертификату сервера на пользовательских устройствах. В некоторых случаях (например, при большом количестве устройств в сети без централизованного управления или при использовании мобильных не корпоративных устройств) установка собственных сертификатов в качестве доверенных невозможна.

Многие веб-сайты используют различные методы защиты от подмены сертификата, воспринимая её, как атаку Man in the middle (MITM): SSL PinningHSTS. Поэтому в списки исключения из HTTPS-фильтрации приходится добавлять все новые и новые сайты, переходящие на данные технологии. Некоторые же приложения (Skype, служба обновлений Windows, клиент-банки) могут не использовать системные сертификаты и не принимать сторонние ключи шифрования.

Для решения этой проблемы в новой версии Ideco ICS, наряду с уже существующим методом ssl-bump, внедрен метод фильтрации HTTPS-сайтов на основе Server Name Indication (SNI). При этом фильтрация сайтов по категориям происходит без подмены сертификата и связанных с этим проблем. Единственным ограничением данной технологии является то, что сайты фильтруются по категориям исходя из информации только о домене (а не полному URL и контенту) и также попадают в систему веб-отчетности. При этом в большинстве случаев фильтрация по используемой нами базе контентной фильтрации остается релевантной.

Метод фильтрации сайтов на основе анализа SNI включен по умолчанию как в новых установках Ideco ICS, так и при обновлении до данной версии.
Таким образом, можно легко настроить контентную фильтрацию для блокировки социальных сетей, программ удаленного управления (например, TeamViewer) и др. ресурсов, с блокировкой которых ранее могли возникать сложности.
Статья по настройке фильтрации в документации.


Настройка фильтрации HTTPS-трафика

МАРШРУТИЗАЦИЯ НЕСКОЛЬКИХ ЛОКАЛЬНЫХ СЕТЕЙ В IPSEC VPN


Теперь при объединении нескольких офисов по IPsec VPN (site-to-site) есть возможность настройки маршрутизации нужных локальных сетей, если в одном или в нескольких офисах имеется более одной локальной подсети.

ПРЕДВАРИТЕЛЬНЫЙ СПАМ-ФИЛЬТР: ЗАЩИТА ОТ СПАМ-БОТОВ И DOS-АТАК


В результате внедрения предварительного спам-фильтра в почтовый сервер Ideco ICS (спам-фильтр включен по умолчанию) существенно повышен уровень фильтрации спама и защита сервера от подключений спам-ботов и DoS-атак. В этот же предварительный фильтр перенесена фильтрация спама на основе DNSBL для более эффективной работы и снижения нагрузки на почтовый сервер при большом количестве входящих сообщений.
Благодаря усиленным настройкам безопасности и новой системе фильтрации SMTP-трафика, количество потенциальных brute force атак на почтовый сервер уменьшится на 70-80%, как показало тестирование на реальных почтовых серверах.

БЕЗОПАСНОСТЬ

Обновлено множество используемых в дистрибутиве пакетов (включая ядро Linux) до последних версий с интегрированными патчами безопасности.

ПОЧТОВЫЙ СЕРВЕР И ФИЛЬТРАЦИЯ ПОЧТЫ


Кроме предварительного спам-фильтра, о котором рассказано выше, почтовый сервер в Ideco ICS был дополнительно усовершенствован для повышения его безопасности. Мы отключили устаревшие небезопасные протоколы шифрования для предотвращения атаки типа «человек посередине» и прослушивания почтового трафика. Исправлена конфигурация службы fetchmail для получения большего количества писем из внешних почтовых ящиков.

ДРУГИЕ ИЗМЕНЕНИЯ


В дистрибутиве и функциональности сервера произведено множество изменений и исправлений. Убраны устаревшие опции, ускорена работа критичных к производительности сервисов. Режим удаленного помощника теперь можно включать и из локального меню сервера.

Подробный список изменений доступен в changelog.

В ходе работы над новой версией разработчики выполнили более 250 задач. Обновиться до новой версии можно с помощью системы автоматических обновлений (версия будет включена в систему с 17 января) или с загрузочного CD/USB.
Задать вопросы о возможностях новой версии, а также обсудить её с нашими специалистами и пользователями можно на форуме.
Новые версии Ideco UTM