08 апреля 2019

Обзор решения: UserGate

Название каких решений вам приходит на ум, когда вы слышите термин NGFW? FortiGate, Check Point или, может быть, Palo Alto Networks? А знаете ли Вы представителей решений такого класса из России?
Сегодня речь пойдет о UserGate — первом российском межсетевом экране нового поколения. UserGate представляет собой как аппаратное, так и виртуальное решение, которое может быть развернуто на гипервизорах VMware, Hyper-V, Xen, KVM и OpenStack. Как и другие устройства такого класса, UserGate включает в себя множество полезных функций: идентификация пользователей, контроль и фильтрация сетевого трафика, инспекция зашифрованного SSL/TLS трафика, система обнаружения и предотвращения вторжений, антивирусный шлюз, возможность построения VPN, перехват и подмена DNS-запросов, мониторинг трафика, предоставление отчетности и многих других. Работает UserGate под управлением UG OS.
User Interface
Первое впечатление о продукте складывается по удобству его настройки через пользовательские интерфейсы. Решением можно управлять через консоль, доступен ssh и подключение по web-интерфейсу, через которое и производится большинство настроек. На данный момент я бы не называл интерфейс интуитивно понятным, поскольку для настройки функционала приходилось частенько обращаться к документации. И здесь тоже возникали вопросы. Файл с руководством администратора содержит краткое описание функций и их настройки. Но местами выглядит очень поверхностно. Например, при настройке кластеризации (доступна настройка кластера конфигурации и кластера отказоустойчивости) может возникнуть вопрос: куда же вводить ip-адрес и секретный ключ для синхронизация двух устройств? В руководстве администратора четкого ответа нет. За помощью можно обратиться в техподдержку. Где скажут о том, что эти поля доступны только при первичной инициализации одного из устройств. Для устройства такого уровня ожидаешь более удобную и подробную документацию. Складывается впечатление, что памятка разработана для тех, кто уже много раз самостоятельно разворачивал решение. Стоит отметить, что вся документация, как и web-интерфейс, доступна на русском языке.
Идентификация пользователей
Одним из основных преимуществ NGFW перед обычными межсетевыми экранами можно с уверенностью назвать возможность идентификации пользователей и групп на основе внешних каталогов, таких как, Microsoft Active Directory. В UserGate реализованы различные механизмы идентификации:
  • c помощью протоколов NTLM, Kerberos;
  • по паре логин/пароль (через Captive-портал);
  • по явно указанному IP-адресу;
  • с помощью агента авторизации;
  • с помощью специального агента терминального сервиса.
На практике наибольший интерес представляет реализация технологии SSO (Single Sing-On), позволяющая пользователям не вводить повторно свои учетные данные при авторизации на сетевых ресурсах. Один из вариантов настройки — использование сервера Kerberos. На основании настроенных правил для пользователей или групп UserGate принимает решение, например, о предоставлении доступа в интернет для уже идентифицированных пользователей. Для последних этот процесс должен проходить незаметно, но на практике отмечалась небольшая задержка при первичной авторизации. Она, конечно, не столь критична и, скорее всего, с выходом обновлений, пользователи не будут замечать замедлений при работе.
Сеть
Устройство поддерживает различные популярные протоколы динамической маршрутизации (OSPF, BGP, RIP), возможность агрегации каналов (LACP) и VPN, поддерживающий популярные алгоритмы шифрования и авторизации. Клиент может подключиться к шлюзу VPN через web-портал или используя встроенные инструменты Windows. Дополнительная установка приложений-клиентов не требуется. А если в вашей инфраструктуре развернуто несколько внутренних сервисов, то их публикацию на один внешний ip-адрес можно реализовать настройками reverse-прокси.
СОВ
Очевидно, что в настоящее время для эффективной работы систем обнаружения вторжений их базы сигнатур должны регулярно обновляться. Аналитики UserGate собирают сигнатуры не только из известных источников, но и разрабатывают свои. Хотелось бы еще иметь понимание, какие из них критично важны, а какие никогда не отработают, но будут сильно нагружать устройство. Радует, что сохраняется возможность работы устройства с СОВ после истечения срока подписки, на старых сигнатурах. Но пока возможности использовать свои сигнатуры нет. Вендор планирует добавить данный функционал в будущие версии.
Инспекция зашифрованного трафика
Здесь все, как и должно быть — возможность выбора встроенного или запрос на создание нового сертификата, подписанного доверенным центром, для последующего использования его в качестве подмены при прохождении зашифрованного трафика через устройство. Правилами можно убрать сайты, которые не рекомендуется подвергать инспекции. SSL-инспекция никак не ограничена для версии с сертифицированной прошивкой.
Сценарии
В UserGate доступен интересный механизм — сценарии. Сценарии представляют собой дополнительные условия в правилах, которые позволяют администратору настроить реакцию на определенные события. Например, ограничить пропускную способность пользователя, если он преодолел порог трафика в месяц, или заблокировать ему доступ в интернет, при переходах на сайты, помеченные как опасные. Такая функция доступна не во всех решениях конкурентов, и зачастую настроить похожую реакцию можно только с помощью «костылей».
Дружим с DLP
UserGate можно настроить в качестве ICAP-клиента для отправки почтового и web-трафика для последующего анализа, например, DLP-системой. В правилах можно указать, какой трафик будет отправляться, а какой нет. UserGate из коробки дружит как минимум с решением от SearchInform. Но и любая другая DLP, которая может выступать как ICAP-сервер, будет обрабатывать трафик, приходящий со шлюза.
Мониторинг и отчеты
В решениях такого типа, как NGFW, мониторинг и отчеты играют немаловажную роль, ведь именно на их основании можно делать выводы и корректировать настройку под пользователей. UserGate из коробки доступно множество различных шаблонов для вывода отчетов. Можно создать отчет на основе сетевой активности, СОВ, трафика, web-активности и других. В принципе, предложенных шаблонов достаточно для удобного вывода всей необходимой информации, но если потребуется индивидуализированный отчет, то придется обращаться к вендору, потому что возможности создания своих шаблонов здесь нет. Электронные журналы по расписанию можно отправлять в SIEM-систему.
Подводя итоги
Данное российское решение отвечает всем требованиям NGFW по Gartner и позволяет провести гибкую настройку в зависимости от существующей инфраструктуры. При этом в сравнении с зарубежными вариантами стоимость внедрения UserGate ниже, а функционал соответствует их уровню. Если опираться на историю развития решения, можно с уверенностью сказать, что мелкие недочёты со временем будут полностью исправлены, а возможности позволят реализовывать все желания пользователей.
Хотите протестировать решение на вашей инфраструктуре? Закажите пилотный проект. Мы изучим вашу среду и установим подходящие устройства с нужным функционалом, чтобы вы смогли полноценно изучить возможности продукта.
Анас Исхаков
Инженер, Акрибия
Контакты для связи
Контактные данные обрабатываются на условиях полной конфиденциальности.
Отправляя заявку, вы даете свое согласие на обработку персональных данных на условиях, указанных в Политике конфиденциальности.
Другие публикации по теме