Преимущества и недостатки Ideco 14.8

В этом обзоре речь пойдёт о межсетевом экране нового поколения (NGFW) IDECO UTM 14.8, от одноименного российского разработчика – компании «Айдеко». Если вы зашли на этот ресурс, то наверняка знаете, что такое NGFW. А если нет, то кратко – NGFW это межсетевой экран, способный фильтровать трафик на уровне протоколов и приложений (Layer 7), а также как правило, имеющий в своём составе модули предотвращения вторжений, контентной фильтрации, потоковый антивирус и прочие современные средства защиты. Всё это, разумеется, дополняет старый добрый файрвол (Layer 4) Нельзя в NGFW обойтись и без оперирования объектами, коими могут быть как ip-адреса, подсети, домены, так и сами пользователи, т.е. их идентификаторы.

В обзоре я буду опираться на открытые данные от вендора, а также на свой субъективный, почти десятилетний опыт эксплуатации продукта (этой и более ранних версий).

Давайте рассмотрим, какие же средства защиты есть в составе IDECO UTM 14.8? Отметим основные преимущества и недостатки их реализации в продукте. Кроме того, коснёмся и других модулей, без которых немыслим современный межсетевой экран.

Модуль	Преимущества	Недостатки
Файрвол (L4)	Есть возможность фильтрации по Geo IP Есть счётчики событий в правилах, полезные для оптимизации и контроля работы файрвола.	Некоторая «архаичность» реализации управления модулем: Нет возможности оперировать сразу несколькими протоколами (TCP, UDP, ICMP и др.) в одном правиле Нельзя быстро переместить правило снизу списка наверх – легче создать заново Нет облегчающих визуализацию и логику разделителей Для логирования нужно создавать отдельные правила
Контроль приложений (L7)	Есть наиболее популярные или необходимые для блокировки приложения и протоколы	Всё же относительно небольшая база протоколов и приложений (чуть более 250)
Контент-фильтр	Удобная база из 145 категорий сайтов и более 500 млн URL SSL инспекция Возможность фильтровать контент даже без подмены SSL сертификата (только для сайтов без ESNI) Функция «безопасный поиск» с автоматическим перенаправлением запросов пользователей на страницы безопасного поиска наиболее популярных поисковиков Перехват DNS-запросов пользователей с автоматической блокировкой QUICK и HTTP/3
Антивирус	Есть возможность использования антивируса Касперский, со всеми его преимуществами (приобретается отдельно) Антивирус ClamAV есть в составе продукта по умолчанию (кроме ФСТЭК версии)	Эффективность ClamAV недостаточна Отсутствие своего антивирусного решения
Предотвращение вторжений	Более 50 групп различных сигнатур Не требует сложной настройки, защита готова «из коробки»	Отсутствие возможности использования слоёв (применения определённого набора сигнатур к определённым защищаемым объектам)
Идентификация и авторизация пользователей	Большой набор возможностей по идентификации и авторизации: Локальные пользователи и группы LDAP группы и объекты Прозрачная авторизация по логам контроллера домена Авторизация по ip или ip+mac для устройств Авторизация по подсетям Авторизация через web SSO-аутентификация Есть двухфакторная аутентификация через SMS Aero или TOTP токен
VPN	Большое количество поддерживаемых протоколов: L2TP PPTP IPSec SSTP Wireguard (через агент)	Отсутствие возможности гибкой настройки параметров протоколов
Публикация общедоступных ресурсов	Есть возможность публикации через технологию NAT Вэб-ресурсы можно опубликовать через обратный прокси с защитой WAF	Скудный функционал настроек WAF
Маршрутизация	Гибкие настройки по маршрутизации пользователей при наличии нескольких каналов связи Поддержка протоколов динамической маршрутизации OSPF и BGP
Резервирование каналов связи	Поддерживается как режим резервирования, так и режим балансировки трафика при наличии двух или более каналов связи	Отсутствует возможность подстроить параметры триггера переключения на резервный канал, в случае отказа основного
Отказоустойчивость	Реализован отказоустойчивый кластер Active/Passive
Логирование, отчетность и мониторинг	Быстрая (на БД Clickhouse) система отчётности, позволяющая получить детальный отчёт по пользователям/группам пользователей, сайтам и другим данным Есть возможность автоматического формирования отчётов (конструктор отчётов) с отправкой на электронную почту по расписанию Есть отчётность по событиям безопасности (IPS) Встроенная система логирования, оснащённая возможностью гибко настраивать фильтры Есть удобная система оповещений через Telegram bot Есть Zabbix-агент SNMP	В отчёты не попадают сработки антивируса. Отчёт по событиям системы предотвращения вторжений – отдельный в виде CSV файла. Отсутствует детальное логирование действий администраторов
Интеграция с SIEM и ICAP-сервисами	Есть по протоколу syslog и ICAP соответственно
Система управления	Не требуется дополнительное ПО для управления, - основной функционал доступен через WEB интерфейс Доступно управление по SSH Есть центральная консоль для управления несколькими серверами	Настройки интерфейса управления хранятся в браузере (фильтры, отображения столбцов, приходится каждый раз настраивать заново после обновления UTM) Центральная консоль поддерживает далеко не весь функционал

Далее я хотел бы заострить внимание на некоторых приведённых в таблице моментах и пройтись по продукту в целом.

Компания «Айдеко» в своём продукте IDECO UTM реализует принцип «shy tech» или «всё сложное под капотом» - таким образом, достигается быстрая интеграция продукта, снижается время на его настройку, упрощается администрирование. Это преимущество достигается, в том числе и снижением количества настроек, доступных администратору. Отсюда вытекает отсутствие возможности гибкой настройки некоторых параметров, таких как протоколы VPN, WAF и другие моменты, упомянутые как недостаток в таблице. По этой же причине, видимо, пока нет обучающих курсов для IDECO UTM. Понятно, что всё сложное под капотом, но начинающим специалистам неплохо показать, где руль и педали.

IDECO UTM представляет собой программный комплекс, доступный к установке на любую платформу, или виртуальную среду, удовлетворяющую минимальным требованиям. Есть, однако, и программно-аппаратные решения. Существует также ФСТЭК версия продукта, в общем и целом имеющая все перечисленные в обзоре модули, кроме антивируса и WAF.

Стоит отметить, что команда разработчиков «Айдеко» - чемпион по скорости выпуска новых версий. Как мажорных, так и минорных. По этому, если продукт попадёт к вам в руки, - пристегните ремни и постарайтесь не отстать в обновлении продукта. В такой скорости, конечно, много плюсов – добавляются новые функции, чинятся баги, но надо быть готовым и к некоторым трудностям.

Какой продукт без техподдержки? В UTM 14.8, как и в более ранних версиях, реализован механизм «удалённый помощник», который в случае необходимости, по команде администратора, даёт возможность быстро и безопасно предоставить доступ для техподдержки. Это, несомненно, один из плюсов продукта. Кроме того техподдержка доступна в чате, который встроен в веб-интерфейс управления UTM.

Подводя итог, можно сказать, что IDECO UTM 14.8 представляет собой современное решение – межсетевой экран нового поколения, включающий в себя все обязательные для такого класса продуктов компоненты.

К основным достоинствам UTM 14.8, на мой взгляд, следует отнести:

Мощный контент-фильтр, дополненный функцией безопасного поиска и перехватом DNS запросов пользователей
Эффективная система предотвращения вторжений, сразу готовая к работе и содержащая большой набор сигнатур
Функциональная и удобная система отчётности по вэб-трафику, событиям безопасности
Гибкая система авторизации и идентификации пользователей
Поддержка множества VPN протоколов

К основным недостаткам:

Архаичный интерфейс управления L4 файрволом
Относительно небольшое количество протоколов и приложений в контроле приложений
Отсутствие собственного потокового антивируса

Добавлю, что продукт очень быстро развивается, приобретая новые и совершенствуя имеющиеся инструменты. Поэтому, вполне вероятно, что многие перечисленные недостатки будут в скорости устранены.