Обзор IDECO NGFW 16.8
Наконец-то получилось протестировать межсетевой экран Ideco NGFW! Он жутко требовательный - 16 гигабайт оперативной памяти минимум, 150 гигабайт жесткого диска. Помимо этого, он зачастую просто не хочет работать с UEFI. В часто задаваемых вопросах на сайте рекомендуют отключить Secure Boot и Legacy USB. Хорошо, с Secure Boot я соглашусь, но Legacy USB почему? И как без Legacy USB можно установить ваш межсетевой экран на компьютер? Образы ведь сейчас все ставят с USB. Сегодня просто не существует серверов с приводом компакт-дисков. Как без Legacy USB поставить на него ваше ПО?
К слову, образ на флэшку следует записывать в режиме DD.
В версии Ideco NGFW 16.8 используется Linux 6.3.8 (чуть позже протестировал 17.2). Поэтому не очень понятны проблемы с поддержкой UEFI, Secure Boot и Legacy USB. Linux сейчас всеяден.
Установщик предупреждает о стирании всех данных на диске.
Я первый раз вижу, чтобы часовой пояс называли временной зоной. Звучит даже странно.
Текущее время и дата.
Просит ввести логин. Честно говоря, на этом этапе я немного потерялся, так как никакой логин или пароль меня не просили назначить. Однако прежде чем я дошел до документации для поиска дефолтного логина и пароля, он сам произвел аутентификацию. Выглядит надёжно...
После авторизации будет предложено настроить кластер, а также указать логин и пароль. Сразу хочу пояснить про ненадежный пароль, из символов для пароля можно использовать только тире. По крайней мере, пароли с другими символами он не хотел принимать. Это очень глупо и непрофессионально. Даже я прекрасно понимаю, как нужно экранировать строчную переменную, чтобы из-за отдельных символов не было ошибок и нельзя было реализовать вектор атаки.
Установка завершена, и мы подключаемся к веб-интерфейсу по адресу https://IP_АДРЕС_IDECO:8443. Кстати, из коробки внутренняя сеть не настроена, и не включен DHCP в ней, а указанный на снимке IP это внешний интерфейс. Почему из коробки доступен веб-интерфейс во внешнюю сеть? Безопасненько.
Возможно, доступность веб-интерфейса во внешней сети связана с её IP-адресацией, которая пересекается в зонами локальных сетей. Наверное, разработчики в Ideco считают себя гениальными, но все остальные межсетевые экраны без проблем определили WAN-интерфейс. При установке исключить отдельную зону из списка локальных сетей возможности нет, да и что за тепличные условия этому NGFW нужны? Я не представляю, как они прошли сертификацию ФСТЭК.
Только крупные компании имеют выделенные IP, и то не всегда. Если у вас нет ресурсов, которые нужно выпускать во внешнюю сеть, тогда зачем? И вот, если нет внешнего IP, тогда IP будет из пула внутренних адресов провайдера (172, 192 или 10) и Ideco решит, что это LAN, а не WAN, и не будет его защищать, как следует межсетевого экрану нового поколения.
Окно аутентификации в веб-интерфейсе.
После авторизации нас встречает Панель мониторинга. У вас она будет пустой, так как вы еще ничего не настроили. Тут из коробки ничего не работает - всё нужно включать и настраивать. Опять же, в бесплатных IPFire, OPNsense и pfSense всё это работает из коробки, и на хорошем уровне. Почему бесплатные продукты с открытым кодом более СДЛ, чем платных продукт? СДЛ расшифровывается "сделано для людей".
И кстати, обратите внимание на оранжевый значок чата в нижнем правом углу. Это возможность в режиме чата задать вопрос у специалистов Ideco. Вопрос один, что они делают внутри моего межсетевого экрана? Не знаю, как эта функция устроена, но у меня она вызывает очень много вопросов к безопасности моего устройства. Хотя её можно отключить в настройках, но тем не менее. Настройки из коробки не являются безопасными.
Меню. По нему мы сейчас и пойдём.
Я уже протыкал все пункты и поднастроил его, но по умолчанию некоторые важные сервисы отключены, например, внутренняя сеть и DHCP для неё, хотя это расчет на корпоративных пользователей, которые пускают только через Прокси-сервер.
Тут необходимо добавить всех пользователей и привязать к ним MAC-адреса. Добавлять пользователей при помощи кнопки с плюсиком правее названия группы Все. Не очень интуитивно.
Функционал авторизации клиентских компьютеров тут довольно удобный. Лично я предпочитаю авторизацию по MAC-адресу. Да, его тоже можно подделать, но это гораздо сложнее, чем подделать IP из подсети, а заставить вводить пользователей логины и пароли не получится. Тут браузер это будет делать при каждом запуске. Скорее всего, это можно подружить с AD, но какой тогда смысл в авторизации по паролю? Вопрос спорный, и правильного ответа на него нет.
Функциональность виртуальных частных сетей в Ideco NGFW. Хорошая история для удаленного подключения пользователей из дома к рабочей сети или для соединения двух филиалов.
Описание не очень понятное, но это просто еще один vpn клиент на базе протокола wireguard.
Интеграция с AD и Samba DC.
Актуалочка - ALD Pro.
Кстати, очень простой, но при этом эффективный для безопасности функционал. Такой функционал есть не в каждом коммерческом межсетевом экране.
Список авторизованных пользователей. У меня сейчас пусто, потому что тестовую машину выключил и решил, раз уж при запрете веб-интерфейса во внешней сети он все равно там доступен, то так его и буду смотреть. Это серьёзный недостаток, который мне не смогла помочь решить техническая поддержка. Поэтому выводы делайте сами.
График загруженности. Там очень много графиков, включая ОЗУ, температуру и частоту ЦП. Кстати, обратите внимание на то, что был один авторизованный пользователь. Это подтверждает мои слова выше.
Монитор трафика. 1.11 это IP-адрес внешнего интерфейса, а 1.10 это виртуальный компьютер во внешней сети. И опять же, по узлам локальной сети и тут внешние адреса. Это подтверждает мои слова про зоны локальных сетей.
Монитор трафика по приложениям. Я ожидал тут увидеть более интересные наименования, но только после открытия понял, что, благодаря доступу к сети Интернет только через Прокси, другой картины и не увидишь.
Да, если ты хочешь выпустить компьютер в интернет не через прокси, то тебе придется отключить файрволл и все виды фильтрации для всех. Не разумно и очень глупо. Правила файрвола не дают возможность выпустить наружу без прокси. Где вы видели хоть одну крупную компанию, в которой абсолютно все устройства выходят в интернет только через Прокси-сервер? Таких скорее всего нет совсем. По крайней мере, во всех крупных компаниях, с которыми я знаком, есть устройства, которые приходится выпускать не через прокси по объективным причинам. Отсутствие такого функционала говорит об отсутствии популярности данного межсетевого экрана среди крупных компаний.
Проверка принадлежности IP-адреса или доменного имени.
Уведомления через Телеграм-бота. Я не проверял, но, судя по инструкции, тут не нужно получать токен или поднимать своего бота при помощи Python на отдельной серверной машине. Хотя мне не нравится, что эта информация будет идти через какой-то внешний сервер.
SNMP.
Увидев вкладку SNMP подумал можно ли его подружить с Zabbix, и не увидел, что следующая вкладка как раз Zabbix-агент. Zabbix сейчас во всех крупных компаниях.
Файрвол. Как-то непривычно видеть окно пустым... По сути это правильно, но во всех остальных были дефолтные правила.
Журналы файрвола. И тут появляется вопрос, где события Карл? Очень прикольно, что сетевые пакеты блокируются, но журналов с информацией о блокировке этих пакетов не существует. Может быть, у меня неправильный взгляд на жизнь, но я хочу знать, каким компонентом заблокирован пакет, и если у IDS журнал есть, то у файрвола его нет.
Посмотрим на ситуацию под другим углом. Какой-то узел в сети пытается получить доступ к сети интернет из внутренней сети. Это ведь может быть злоумышленник или просто вредоносное ПО. Почему я об этом не знаю? Где же ваш компонент обнаружения устройств в сети? Видимо, не работает.
В любом случае, журналы должны быть, и их отсутствие обычно означает, что их почистили, а если их почистили, значит был злой умысел. Все настройки проверил, но журналы наполняться не стали. Почему open-source межсетевые экраны более качественны?
В общем, правила информационной безопасности непоколебимы, нельзя так просто посмотреть журнал и всё.
Очень крутая функциональность контроля приложений. Попробуйте нажать добавить, в поле протокол будет отображено 100 приложений, и когда начинаешь искать по одной букве, понимаешь, насколько круто реализован функционал.
Конечно, он не охватывает 100% существующих приложений, которые могут работать с сетью, но тем не менее, это огромный список и очень мощная функция.
Я не проверял, насколько точно он определяет трафик, выглядит очень круто.
Признаюсь честно, это самый удобный и функциональный Контент-фильтр из всех, что я когда-либо видел.
Шейпер, то есть ПО для ограничения скорости.
Выбор антивируса для проверки трафика, который проходит через Прокси-сервер.
Как можете видеть, тестовый вирус Eicar успешно обнаружен и заблокирован. Иными словами, ClamAV в Ideco работает, в отличии от Интернет Контроль Сервера.
Приятно видеть, когда система обнаружения вторжений работает. Да, это NMAP. Я сканировал открытые порты из внешней сети. У меня были подозрения, которые оправдались.
Чего не хватает, так это блокировки при множестве срабатываний с одного IP-адреса. Сейчас эта возможность есть, наверное, во всех межсетевых экранах, кроме Ideco. Отсутствие такой опции - это плохо.
Снимаю шляпу за такие правила системы предотвращения вторжений. В Интернет Контроль Сервера правила просто качались без промежуточной фильтрации из бесплатных источников, включая github. В Ideco NGFW правила отфильтрованы и очень качественно обработаны.
Если закрыть глаза на отсутствие блокировки при массовых сканированиях с одного IP, то его можно назвать одной из лучших реализаций IDS/IPS среди тех, что я когда-либо видел.
Исключения из IPS.
Различные переменные. Эти переменные редактировать пробовал, но проблему с некорректным определением WAN это не решило.
Квоты.
Сетевые интерфейсы. Этот функционал реализован сильно слабее, чем в Интернет Контроль Сервере. У WAN-интерфейса IP-адрес не 1.1, там просто вторая цифра не влезла =\
Балансировка и резервирование, которая позволяет распределять нагрузку между внешними каналами, или переключаться на резервный канал связи, если основной перестанет работать. Отличная функция, но она лучше реализована в Интернет Контроль Сервере.
Маршрутизация - маршрут по умолчанию.
BGP.
OSPF.
IGMP Proxy. Прикольный функционал для сертифицированного межсетевого экрана. Ну а что такого? Начальник хочет смотреть телевизор в рабочее время. Мой сарказм вызван тем, что такой функционал обычно не добавляют в межсетевые экраны, которые нацелены на крупные компании.
Прокси-сервер в Ideco NGFW. Краткость сестра таланта. Вкладки ICAP и WCCP позволяют указать соответствующие внешние сервера.
Очень минималистичные настройки прокси-сервера, но при этом он отлично работает и без тормозов. Это вызывает восхищение.
Однако, если задуматься, у них у всех под капотом SQUID.
Обратный прокси для публикации внутренних ресурсов во внешнюю сеть.
В DNS почему-то автоматически не добавляется выданный WAN-интерфейсу по DHCP сервер DNS. Все три пункта добавил вручную.
DHCP-сервер по умолчанию отключен. Включить и настроить диапазон IP-адресов для внутренней сети необходимо самостоятельно.
NTP-сервер. Простая, удобная и необходимая в каждой крупной сети функция.
А вот IPsec по умолчанию включен. Логика вышла из чата...
Сертификаты. Просто и удобно. Когда удобно, тогда удобно.
Бесполезный раздел журналов. Бесполезный из-за отсутствия возможности посмотреть заблокированные пакеты, которые шли не через прокси-сервер.
Раздел Администраторы в Управлении сервером.
Обратите внимание, что доступ к веб-интерфейсу из внешней сети отключен.
В консоли управление сервером через веб-интерфейс из внешней сети тоже отключено. Когда включено, там предлагается его отключить.
Сканирование Ideco NGFW при помощи Nmap из внешней сети показала целую кучу открытых во внешнюю сеть портов.
Открытые порты, которые обнаружил Nmap. Интересно, если проверить все 65635 портов с протоколами TCP и UDP, то получится найти еще открытые порты?
Хорошо, я могу понять, что открыт 80 и 443 порт, но почему Прокси-сервер, DNS и Веб-интерфейс доступны во внешней сети? Это какой-то косяк, нужно попробовать заново установить Ideco, и посмотреть, будут ли опять открыты эти порты.
Общался по этому поводу с поддержкой, и их ответ был краткий, мол почему-то он определил WAN-интерфейс как локальный. Видимо, на WAN интерфейс обязательно должен быть IP не из пула зарезервированных для локальных сетей. В общем, решить проблему они мне не смогли помочь. WAN-интерфейс остался плохо защищенным.
Это отдельный продукт для управления межсетевыми экранами Ideco.
Нельзя пренебрегать возможностью настроить кластер, если у вас крупная сеть! Любое железо может выйти из строя, поэтому нужно иметь возможно восстановить работоспособность сети без ущерба информационной безопасности и реализованной маршрутизации.
С точки зрения информационной безопасности Автоматическое обновление - обязательная функция, но с точки зрения стабильности работы - крайне пагубная. Большая часть сбоев в сетях из-за межсетевых экранов происходит именно при попытке обновить их. Это нормальная история, когда при обновлении половина функционала перестала работать, и нужно пилить костыли. Именно в Ideco это не проверял, но такая функция вызывает страх сломать всю сеть.
Резервное копирование конфигураций самого Ideco.
Терминал в веб-интерфейсе.
Почтовый релей.
Вывод
Ideco NGFW отлично подходит для небольших организацией, но при условии, что 100% устройств будут выходить в сеть только через прокси-сервер и на внешнем интерфейсе межсетевого экрана будет висеть выделенный IP (не из пула локальных сетей).
DHCP для внутренней сети по умолчанию отключен, и возможности открыть доступ в интернет без Прокси-сервер нет. Прокси-сервер это правильно с точки зрения безопасности, но далеко не всё можно завернуть через Прокси-сервер, особенно в старых ОС. Поддержка говорит, что можно настроить исключения из прокси-сервера, но это костыли, особенно, если сравнивать с тем же pfsense или ipfire.
В Ideco NGFW встроен ClamAV, который работает, в отличии от Интернет Контроль Сервера. Тестовый вирус Eicar был заблокирован без труда.
Контент-фильтры очень удобные и мощные.
Система обнаружения и предотвращения вторжений вызывает желание аплодировать стоя. Не хватает ей только автоматической блокировки IP-адресов, с которых идёт массовое сканирование, хотя у многих конкурентов это есть.
В Ideco NGFW очень много интересных и очень круто реализованных функций, но и много косяков. Возможности выпустить отдельный компьютер в интернет без Прокси нет, только если отключить файрвол и все контент-фильтры вообще для всех пользователей. Возможно, тут могут помочь исключения из прокси, но это исключение из обработки на межсетевом экране, а не на клиенте. Иными словами, все равно придется настраивать прокси-сервер в браузере и панели управления (согласно официальной документации Ideco). Это очень серьезный недостаток, так как все конкуренты умеют это делать. Во всех коммерческих компаниях есть отдельные компьютеры, которые необходимо выпустить не через прокси, а отсутствие такой фукции означает плохую популярность Ideco среди крупных компаний.
По умолчанию веб-интерфейс доступен из внешней сети, и еще 53, 80, 443, 3129 и 8443 порты. Последний и есть веб-интерфейс. Забавно, но при отключенной функции доступа к веб-интерфейсу из внешней сети, эти порты всё равно открыты и веб-интерфейс спокойно работает из внешней сети. Я даже попробовал переустановить межсетевой экран Ideco, но результата это не дало. Поддержка говорит, что он почему-то неправильно определил внешний интерфейс. Где-то в настройках видел зоны для локальных сетей, и там были 172, 192 и 10. Возможно, если их исключить от туда, проблема будет исключена. Однако, далеко не у всех коммерческих компаний есть выделенный IP, так как за него нужно отдельно платить. Вывод очень простой, системные администраторы не шарят за безопасность и не смотрят, что у Ideco куча открытых портов наружу.
Возможности добавить Wi-Fi сеть тут нет.
Еще один недостаток просто невероятного уровня, так это отсутствие возможности изменить MAC-адрес сетевой карты. Это опять же говорит о низкой популярности Ideco. Хорошо, мы решили взять пилот Ideco NGFW, но практически везде идёт привязка к MAC-адресу и нам на время пилота его менять? И пока меняют, пусть вся компания простаивает? Провайдеры не всегда оперативно отвечают. Ставить ради Ideco отдельный умный маршрутизатор перед ним? Зачем тогда вообще нужен Ideco? Поддержка сказала команду "ip link set dev ethX address xx:xx:xx:xx:xx:xx", но она меняет MAC-адрес только до перезагрузки. Все межсетевые экраны на базе Linux умеют менять MAC-адрес и он не будет сбиваться после перезагрузки. Даже дешевые роутеры это умеют. Почему дешевый китайский роутер по большинству параметров оказывается более функциональный, нежели межсетевой экран с минимальным требованием 16 гигабайт оперативной памяти? Низкая популярность, иначе бы допилили. Серьезные компании берут на пилот и отказываются.
Также очень непонятна требовательность к аппаратному обеспечению. Secure Boot и Legacy USB чем мешает? Всем остальным межсетевым экранам на базе FreeBSD и Linux они не мешают. При виде UEFI вместо установки предлагает перезагрузить.
Минимальное значение оперативной памяти 16 гигабайт. Почему столько? Я не понимаю.
Дискового пространства требуется 160 гигабайт.
Ideco NGFW самый капризный в плане поддержки оборудования. Я пробовал ставить его на сокет 1155 с процессором i5, на сокет 1156 с процессором i3, пробовал ставить на сокет am3+ с 8-ядерным процессором AMD. И во всех случаях он не поддерживал это железо и не хотел ставиться. Поддержка отвечала, мол, старое железо, и помочь не можем. И это выглядит смешно, когда видишь оригинальное ядро Linux, которое всё указанное железо поддерживает без проблем. Все межсетевые экраны, которые я тестировал, поддерживают всё указанное железо. Еще один повод усомниться в его популярности.
Честно говоря, 90% указанных функции можно сделать в IPFire (ссылка) и pfSense (ссылка), и им не нужно такого количества ОЗУ. IPFire выполняет все те же функции с 4 гигабайтами оперативной памяти и съедает всего ~25%. При этом, он вообще не требователен к аппаратному обеспечению, и поддерживает практически любые Wi-Fi адаптеры. Единственное, у него нет такого красивого интерфейса. pfSense съедает больше ресурсов, но имеет невероятное количество качественного функционала и очень красивый интерфейс.
