Revisão da Ideco UTM 8: protegendo os limites da rede corporativa

Passaram-se exatamente 9 anos desde que conhecemos a solução da Ideco. Durante esse tempo, muitos novos lançamentos foram lançados, o nome mudou de ICS para UTM, muitas novas funções e soluções individuais surgiram, mas uma coisa permaneceu inalterada – o desejo pela maior facilidade possível de instalação, configuração e uso do produto.

Ao mesmo tempo, a abordagem conceitual permaneceu a mesma – Ideco UTM 8, na verdade, é uma distribuição especializada, construída principalmente em componentes abertos que são cuidadosamente embalados, pré-configurados e combinados em uma interface web unificada para que tudo funcione imediatamente, de acordo com o primeiro clique, e estava disponível para uso mesmo por um usuário não muito avançado. No entanto, também há acesso direto ao console se você realmente quiser mexer no interior do sistema.

A solução é inicialmente puramente software, mesmo apesar da disponibilidade de hardware e sistemas de software prontos da própria empresa. E nos dias de hoje, isso tem uma vantagem adicional inesperada: o suporte oficial para os principais hipervisores ajuda a proteger a infraestrutura de VDI, que só está ganhando popularidade devido à pandemia. E isso se soma ao fato de que a Ideco UTM anterior, com quase as mesmas capacidades que os gateways de hardware de outros fornecedores, não estava rigidamente ligada a um hardware específico e, pelo contrário, sempre havia a possibilidade de fácil escalonamento sem custos significativos.

Para estudar as capacidades do sistema Ideco UTM 8 (em processo de atualização para a versão 8.4), instalamos a partir da imagem ISO oficial em uma máquina virtual Hyper-V de segunda geração com UEFI, duas vCPUs (Intel Core i7-7700K), 8 GB de RAM (alocação estática ) e um disco com capacidade de 128 GB, cuja imagem estava no SSD. No bairro havia uma VM cliente com Windows 10 (2 vCPU, 2 GB de RAM), que se conectava à VM com Ideco UTM por meio de um vSwitch privado e que, por sua vez, ia para a Internet por meio de um segundo switch virtual externo.

O processo de instalação é extremamente simples – o instalador pedirá que você selecione uma unidade e uma interface de rede para a rede local, para a qual você precisa definir uma sub-rede com uma Máscara, bem como especificar o fuso horário e a hora. Além disso, você precisará definir uma senha para o usuário root para acessar o menu local, que contém algumas configurações críticas. Em particular, aqui você pode visualizar a carga nas interfaces de rede e no próprio servidor, redefinir os parâmetros de rede, desabilitar o firewall e limpar bloqueios de IP, alterar a raiz e as senhas do administrador da interface da web e desligar ou reiniciar a máquina.

Em geral, você pode entrar neste menu, tendo acesso físico ao próprio servidor, o que, em tese, deveria ser necessário apenas em uma situação de emergência. Aqui, por exemplo, você pode habilitar o acesso SSH e o modo de assistência remota (para suporte técnico), gerenciar backups e habilitar o modo de emergência “Permitir Internet para todos” (válido por 48 horas ou até que a máquina seja reiniciada). No entanto, para implantação em nuvem, outra função neste menu não faria mal – configurar a interface WAN. Porque é conveniente configurá-lo apenas por meio da interface da web.

O login e senha do administrador para acessar a interface web são mostrados ao final do processo de instalação. Infelizmente, após o primeiro login, eles não são forçados a mudar para os seus próprios (esta função será implementada na versão 9.0, cujo lançamento está agendado para o final do ano). E esta é provavelmente uma das poucas reclamações sobre a interface da web e o sistema como um todo. Mas existem alguns recursos interessantes que os concorrentes não possuem. Por exemplo, um chat com suporte técnico embutido diretamente na interface web (funciona das 7h às 19h, horário de Moscou, de segunda a sábado), que responde muito rapidamente às solicitações, embora em casos atípicos você ainda tenha que se comunicar por correio. A empresa também possui um grupo Telegram, onde os desenvolvedores ajudam a resolver problemas de configuração e conexão.

No entanto, para Ideco UTM, existe uma documentação bastante extensa para cada seção de parâmetro. Portanto, não consideraremos em detalhes tudo em uma linha, observando ou listando brevemente apenas algumas das possibilidades e recursos.

Pode haver várias interfaces WAN e LAN, incluindo VLANs, mas apenas IPv4 é compatível. Para WAN, conexões PPTP / L2TP / PPPoE VPN e rotas estáticas também estão disponíveis e, com várias interfaces WAN, redundância ou balanceamento estão disponíveis. O Ideco UTM é, na verdade, um servidor proxy, de forma que parte do tráfego, se desejado, pode ser contornado tanto no nível da rede (destino ou origem), quanto simplesmente trazendo algum recurso HTTP (S) local para fora (proxy reverso). O reencaminhamento de portas tradicional e o reencaminhamento de portas, claro, também estão disponíveis, para que possa abrir o acesso aos serviços da própria Ideco UTM ou a um serviço interno da rede local, bem como organizar o acesso às redes locais do exterior, caso de repente precise.

Todos esses cenários presumem que o Ideco UTM é o gateway padrão para a rede local. No entanto, pode ser utilizado para filtragem e proteção, mesmo que esteja dentro da rede, mas neste caso, todos os clientes terão que registrar as configurações de proxy no SO e / ou nos navegadores. A situação oposta também é possível, quando o UTM é principalmente necessário para funcionar como um gateway e um serviço externo está envolvido na verificação de tráfego adicional (ou geralmente básica), por meio de uma conexão ICAP.

No Ideco UTM 8, por padrão, a interceptação de requisições DNS está habilitada, e os endereços “Yandex.DNS” do modo “Seguro” são registrados como os principais, não sendo utilizados servidores DNS do provedor superior. Zonas de encaminhamento também estão disponíveis para acesso mais conveniente aos recursos locais. Nas configurações do servidor DHCP para o segmento LAN, você também pode registrar mais alguns servidores DNS, bem como fornecer rotas estáticas aos clientes.

Syslog e SNMP tradicionais estão disponíveis para monitoramento remoto, assim como Zabbix (em modo ativo e passivo). Outras opções úteis incluem atualizações automáticas e backups programados com a capacidade de fazer upload de cópias via FTP ou SMB para armazenamento externo.

Vários métodos estão disponíveis para conectar e controlar o acesso do usuário à Internet. Em primeiro lugar, o Ideco UTM 8 possui integração com Active Directory, com controle de login tanto do próprio domínio quanto do gateway da Ideco, incluindo SSO. Em segundo lugar, o próprio gateway fornece a capacidade de autorização por IP ou IP + MAC (se o servidor DHCP integrado estiver ativo, uma ligação correspondente será criada), via web, por meio de um pequeno programa de agente para Windows (gerado em cada gateway específico). Conexões VPN também estão disponíveis: PPTP, PPPoE, IPSec (IKEv2), SSTP, L2TP / IPSec.

Para maior comodidade, os usuários podem ser divididos em grupos separados. As contas administrativas são entidades separadas e não são incluídas em grupos. A detecção automática de novos clientes (dispositivos) na rede local está disponível, adicionando-os a um grupo pré-selecionado. Para grupos, você pode habilitar cotas, negar autorização e negar acesso VPN remoto para seus usuários.

Cotas aqui significam uma quantidade predeterminada de tráfego que um usuário ou grupo pode consumir durante um determinado período: por uma hora, dia, semana, mês ou trimestre. Exceder a cota pode servir como um gatilho para outros eventos (por exemplo, bloquear o acesso a determinados sites e aplicativos ou limitar a velocidade), mas um usuário individual pode “cobrar” manualmente o tráfego adicional.

Nos relatórios, você pode obter um resumo do tráfego dos recursos visitados e suas categorias. Para cada usuário, está disponível um relatório com os mesmos parâmetros e estatísticas separadas de chamadas para sites bloqueados e suas categorias. Infelizmente, ainda não há configurações para enviar relatórios e notificações de eventos por e-mail.

Faz sentido usar conexões VPN de usuários na rede local, a menos que você precise de proteção até mesmo de vizinhos ou quando o canal físico não estiver protegido por padrão. No entanto, em nossa opinião, o cenário principal da VPN ainda é uma conexão remota com o gateway. Na conta pessoal do usuário, existem até mesmo scripts PowerShell prontos para simplificar a criação de interfaces VPN no Windows.

Configurações de conexão VPN e conta pessoal do usuário

Pequeno, mas agradável e simplificando o trabalho dos chips – para IKEv2 e SSTP, basta especificar o nome de domínio do gateway, para que a Ideco UTM gere um certificado Let’s Encrypt já pronto. Ele também pode ser usado para acessar a interface da web a partir de redes externas, criando uma regra para o proxy reverso.

Conexão na sede

Outro recurso interessante é a facilidade de configuração de túneis IPSec site a site. Para combinar vários locais com Ideco UTM sob uma asa usando IKEv2 com AES-256, há um mecanismo separado: você precisa especificar o (s) endereço (s) externo (s) e as sub-redes locais para tunelamento, após o que as configurações (texto em base64) serão geradas, que precisarão ser transmitidas para a resposta lado.

Conexão do lado da filial

Pode parecer um pouco confuso, mas na prática são literalmente alguns cliques nas interfaces da web e algumas operações para copiar e colar texto. E não se preocupe em gerar certificados, editar arquivos de configuração, prescrever rotas e assim por diante. Para se conectar com dispositivos Mikrotik, existe uma página separada para geração de scripts de configuração, e na documentação você pode encontrar instruções para Keenetic, Kerio e pfSense.

Conexão do cliente MikroTik

Para simplificar uma série de configurações, está disponível um sistema de objetos que pode ser rapidamente incluído nas regras de proteção e filtragem de tráfego. Esses objetos podem ser endereços IP individuais, domínios, portas, sub-redes e seus intervalos ou listas, bem como dias da semana e intervalos de tempo (para criar programações). Eles são úteis principalmente para configurar o firewall.

A próxima seção é responsável por controlar o acesso à rede para vários aplicativos. A lista de perfis disponíveis para filtragem L7 é bastante extensa. Uma lista ainda maior de recursos online com os quais o filtro de conteúdo está familiarizado. Todos eles são categorizados para maior comodidade. Você pode negar acesso a ambos os sites e a certos tipos de arquivos: ActiveX, Flash, áudio / vídeo, arquivos, documentos, torrent ou arquivos executáveis.

O conjunto de categorias proibidas, que está ativo por padrão, cobre a maior parte do conteúdo impróprio, incluindo banners e outros anúncios online. Você pode verificar um URL específico para ver em qual categoria ele se encaixa e, se não, adicionar um novo. As regras de filtragem são aplicadas a usuários, grupos, endereços IP ou sub-redes.

O acesso às categorias do site pode ser negado, permitido ou, no caso de tráfego HTTPS, enviado para descriptografia. É engraçado que no próprio site do Ideco para verificações de segurança, a conexão por meio de um gateway, ao adicionar o banimento de categorias semelhantes no filtro de conteúdo, ainda não passe em todas as verificações. Aparentemente, a sincronização dos bancos de dados está um pouco atrasada.

Para descriptografar, é claro, você precisa de um certificado criado pelo gateway, que você precisará instalar nas máquinas clientes manualmente ou usar políticas de domínio do Active Directory para isso. Descriptografar o tráfego em tempo real permitirá que você o monitore e filtre de forma mais completa, mas pode interferir na operação de alguns aplicativos e sites.

As opções adicionais incluem a proibição dos protocolos QUIC e HTTP / 3 modernos, bem como a transmissão forçada de parâmetros “seguros” (geralmente um filtro de família) em consultas aos mecanismos de pesquisa. A interceptação de consultas DNS foi discutida anteriormente, mas as consultas DNS criptografadas (DoH, DoT, DNSCrypt) podem ser filtradas.

Por fim, Ideco UTM possui um sistema abrangente de proteção contra ataques – IDS / IPS Suricata. Inclui uma grande variedade de funções que não faz sentido listar separadamente aqui. Basta observar que é ela quem em maior medida determina os requisitos mínimos de sistema para o hardware da Ideco UTM, em termos da quantidade de RAM e do número de núcleos com a sua frequência. A velocidade de processamento do tráfego também dependerá do conjunto de funções de proteção habilitadas.

Conforme mencionado no início, a falta de vinculação à plataforma de hardware facilita o dimensionamento. Para ser justo, observamos que o hardware NGFW / UTM moderno pode ter mecanismos para acelerar várias operações, portanto, em alguns cenários, eles podem vencer em termos de velocidade de processamento de tráfego. Porém, quando se trata de migrar de antigos sistemas de automontagem, firewalls simples ou apenas soluções desatualizadas como o Microsoft TMG, o produto Ideco pode ser muito, muito interessante tanto em termos de funcionalidade quanto de custo. Além disso, para o UTM 8, espera-se uma versão com certificação FSTEC, o que em alguns casos se tornará um argumento decisivo.

No geral, gostamos da solução Ideco UTM 8 – tanto pela facilidade de configuração (especialmente a VPN) quanto pela abundância de funções. No entanto, não pode ser considerado absolutamente ideal. Aqui e ali existem várias falhas, mas os desenvolvedores estão lançando novas versões alegremente, onde corrigem bugs e adicionam novas funcionalidades. Alguns dos recursos que estavam na 7ª geração (servidor de e-mail, por exemplo) ainda não foram implementados.

A edição SMB gratuita com uma série de restrições foi preservada, e a versão Enterprise completa do sistema pode ser testada gratuitamente por um mês e meio. Foi neste modo de operação que este material foi preparado. No processo, até experimentamos o trabalho de suporte técnico. Através do chat integrado na interface web durante o horário de trabalho, os especialistas respondem realmente com rapidez e ajudaram a resolver algumas das questões “na hora”.

Uma assinatura básica do próprio UTM, sem a qual não haverá atualização de módulos de proteção e suporte técnico, custa a partir de 33.750 rublos. até 202.500 rublos. – de 25 a 150 usuários, respectivamente. Há um desconto substancial para renovar a assinatura: 60% se feito no prazo, ou 25% se não se passaram mais de dois meses desde o final da última assinatura. Uma divisão de custos mais detalhada é fornecida aqui.