Обзор решения: UserGate

Название каких решений вам приходит на ум, когда вы слышите термин NGFW? FortiGate, Check Point или, может быть, Palo Alto Networks? А знаете ли Вы представителей решений такого класса из России?

Сегодня речь пойдет о UserGate — первом российском межсетевом экране нового поколения. UserGate представляет собой как аппаратное, так и виртуальное решение, которое может быть развернуто на гипервизорах VMware, Hyper-V, Xen, KVM и OpenStack. Как и другие устройства такого класса, UserGate включает в себя множество полезных функций: идентификация пользователей, контроль и фильтрация сетевого трафика, инспекция зашифрованного SSL/TLS трафика, система обнаружения и предотвращения вторжений, антивирусный шлюз, возможность построения VPN, перехват и подмена DNS-запросов, мониторинг трафика, предоставление отчетности и многих других. Работает UserGate под управлением UG OS.

Первое впечатление о продукте складывается по удобству его настройки через пользовательские интерфейсы. Решением можно управлять через консоль, доступен ssh и подключение по web-интерфейсу, через которое и производится большинство настроек. На данный момент я бы не называл интерфейс интуитивно понятным, поскольку для настройки функционала приходилось частенько обращаться к документации. И здесь тоже возникали вопросы. Файл с руководством администратора содержит краткое описание функций и их настройки. Но местами выглядит очень поверхностно. Например, при настройке кластеризации (доступна настройка кластера конфигурации и кластера отказоустойчивости) может возникнуть вопрос: куда же вводить ip-адрес и секретный ключ для синхронизация двух устройств? В руководстве администратора четкого ответа нет. За помощью можно обратиться в техподдержку. Где скажут о том, что эти поля доступны только при первичной инициализации одного из устройств. Для устройства такого уровня ожидаешь более удобную и подробную документацию. Складывается впечатление, что памятка разработана для тех, кто уже много раз самостоятельно разворачивал решение. Стоит отметить, что вся документация, как и web-интерфейс, доступна на русском языке.

Идентификация пользователей

Одним из основных преимуществ NGFW перед обычными межсетевыми экранами можно с уверенностью назвать возможность идентификации пользователей и групп на основе внешних каталогов, таких как, Microsoft Active Directory. В UserGate реализованы различные механизмы идентификации:

• c помощью протоколов NTLM, Kerberos;
• по паре логин/пароль (через Captive-портал);
• по явно указанному IP-адресу;
• с помощью агента авторизации;
• с помощью специального агента терминального сервиса.

На практике наибольший интерес представляет реализация технологии SSO (Single Sing-On), позволяющая пользователям не вводить повторно свои учетные данные при авторизации на сетевых ресурсах. Один из вариантов настройки — использование сервера Kerberos. На основании настроенных правил для пользователей или групп UserGate принимает решение, например, о предоставлении доступа в интернет для уже идентифицированных пользователей. Для последних этот процесс должен проходить незаметно, но на практике отмечалась небольшая задержка при первичной авторизации. Она, конечно, не столь критична и, скорее всего, с выходом обновлений, пользователи не будут замечать замедлений при работе.

Сеть

Устройство поддерживает различные популярные протоколы динамической маршрутизации (OSPF, BGP, RIP), возможность агрегации каналов (LACP) и VPN, поддерживающий популярные алгоритмы шифрования и авторизации. Клиент может подключиться к шлюзу VPN через web-портал или используя встроенные инструменты Windows. Дополнительная установка приложений-клиентов не требуется. А если в вашей инфраструктуре развернуто несколько внутренних сервисов, то их публикацию на один внешний ip-адрес можно реализовать настройками reverse-прокси.

СОВ

Очевидно, что в настоящее время для эффективной работы систем обнаружения вторжений их базы сигнатур должны регулярно обновляться. Аналитики UserGate собирают сигнатуры не только из известных источников, но и разрабатывают свои. Хотелось бы еще иметь понимание, какие из них критично важны, а какие никогда не отработают, но будут сильно нагружать устройство. Радует, что сохраняется возможность работы устройства с СОВ после истечения срока подписки, на старых сигнатурах. Но пока возможности использовать свои сигнатуры нет. Вендор планирует добавить данный функционал в будущие версии.

Инспекция зашифрованного трафика

Здесь все, как и должно быть — возможность выбора встроенного или запрос на создание нового сертификата, подписанного доверенным центром, для последующего использования его в качестве подмены при прохождении зашифрованного трафика через устройство. Правилами можно убрать сайты, которые не рекомендуется подвергать инспекции. SSL-инспекция никак не ограничена для версии с сертифицированной прошивкой.

Сценарии

В UserGate доступен интересный механизм — сценарии. Сценарии представляют собой дополнительные условия в правилах, которые позволяют администратору настроить реакцию на определенные события. Например, ограничить пропускную способность пользователя, если он преодолел порог трафика в месяц, или заблокировать ему доступ в интернет, при переходах на сайты, помеченные как опасные. Такая функция доступна не во всех решениях конкурентов, и зачастую настроить похожую реакцию можно только с помощью «костылей».

Дружим с DLP

UserGate можно настроить в качестве ICAP-клиента для отправки почтового и web-трафика для последующего анализа, например, DLP-системой. В правилах можно указать, какой трафик будет отправляться, а какой нет. UserGate из коробки дружит как минимум с решением от SearchInform. Но и любая другая DLP, которая может выступать как ICAP-сервер, будет обрабатывать трафик, приходящий со шлюза.

Мониторинг и отчеты

В решениях такого типа, как NGFW, мониторинг и отчеты играют немаловажную роль, ведь именно на их основании можно делать выводы и корректировать настройку под пользователей. UserGate из коробки доступно множество различных шаблонов для вывода отчетов. Можно создать отчет на основе сетевой активности, СОВ, трафика, web-активности и других. В принципе, предложенных шаблонов достаточно для удобного вывода всей необходимой информации, но если потребуется индивидуализированный отчет, то придется обращаться к вендору, потому что возможности создания своих шаблонов здесь нет. Электронные журналы по расписанию можно отправлять в SIEM-систему.

Подводя итоги

Данное российское решение отвечает всем требованиям NGFW по Gartner и позволяет провести гибкую настройку в зависимости от существующей инфраструктуры. При этом в сравнении с зарубежными вариантами стоимость внедрения UserGate ниже, а функционал соответствует их уровню. Если опираться на историю развития решения, можно с уверенностью сказать, что мелкие недочёты со временем будут полностью исправлены, а возможности позволят реализовывать все желания пользователей.

Хотите протестировать решение на вашей инфраструктуре? Закажите пилотный проект. Мы изучим вашу среду и установим подходящие устройства с нужным функционалом, чтобы вы смогли полноценно изучить возможности продукта.