Согласно нашему недавнему исследованию, более 30% крупных российских компаний не верят, что отечественные средства защиты информации (СЗИ) могут заменить ушедшие решения западных вендоров. Самый востребованный, но и самый проблемный в импортозамещении класс СЗИ — это межсетевые экраны. Команда наших инженеров по сетевой безопасности систематически выполняет проекты, связанные с заменой иностранных решений на продукты отечественных вендоров.
В этой статье мы сделаем обзор NGFW одного из лидирующих российских производителей — UserGate. Если вы ещё не решились на импортозамещение или находитесь в стадии выбора отечественного NGFW, думаю эта статья будет вам полезной.
NGFW от UserGate
События 2022 года, вследствие которых с российского рынка ушли Cisco, Fortinet, Palo Alto и другие западные вендоры, подстегнули переход наших клиентов на решения отечественных производителей. Наша команда инженеров по внедрению средств защиты сетевой инфраструктуры накопила опыт замены межсетевых экранов зарубежных вендоров на отечественные СЗИ.
Мы являемся одним из ведущих партнеров компании UserGate, которая поставляет один из наиболее востребованных отечественных NGFW с широкой модельной линейкой. Мы работаем с ними уже более пяти лет, занимаемся поставкой и внедрением ПАКов, а также работаем по сервисной модели - покупаем железки на себя, делаем все работы по настройке и интеграции, а заказчик получает готовый сервис.
Говоря о NGFW от UserGate, мы подразумеваем следующую связку их продуктов:
Устройства Next-Generation Firewall — линейка межсетевых экранов (МСЭ) в виде ПАК или ВМ для установки на периметре корпоративной сети передачи данных или между её сегментами. Как и все межсетевые экраны нового поколения UserGate имеет ряд основных модулей защиты: модуль межсетевого экранирования, включающий потоковый антивирус, системы предотвращения от вторжений (IPS), SSL инспекцию, контентную фильтрацию, защиту почтового трафика.
Management Center — система управления распределенными МСЭ.
Log Analyzer — система сбора и анализа логов и их первичной обработки для мониторинга и обнаружения вторжений.
Все решения UserGate имеют сертификат ФСТЭК по требованиям к МСЭ и системам обнаружения вторжений (4 класса) для ПАК и ВМ.
С точки зрения эксплуатации, сложнее всего сам процесс перехода на UserGate — проектирование, пуско-наладка, тонкая настройка. Последующая эксплуатация довольно проста. По мере возникновения вопросов их решает техническая поддержка UserGate.
Когда выбрать UserGate
По нашему опыту NGFW от UserGate отлично подходят в следующих случаях:
Когда через МСЭ проходит IMIX трафик до 8 Гб/с, требующий полного инспектирования. По нашему опыту, UserGate показывает высокую производительность модуля межсетевого экранирования и IPS. Кроме того, можно увеличить производительность, собрав UserGate в отказоустойчивый кластер active-active. В таком режиме можно добавить до 4 устройств одного типа, что значительно повышает эффективность обработки сетевого трафика.
Когда нужен NGFW - нужно проанализировать и разобрать запросы по приложениям.
Компания занимается обработкой персональных данных или ГИС. В этом случае МСЭ на границе сети обязан иметь сертификат ФСТЭК не менее 4-ого класса защиты, который у решений UserGate имеется.
Если у вас используется западные Proxy, Usergate подходит для их замены.
Требуется защита почты. UserGate предоставляет ее как встроенную функцию в виде MTA, с другими вендорами придётся закрывать эту потребность за счёт подключения дополнительных решений.
Процесс переезда
Переехать самостоятельно на UserGate с западных аналогов сложно. Причина в том, что функциональность отечественных и западных NGFW не соответствует друг другу. В связи с этим, миграция включает целый ряд нетривиальных шагов. Вот несколько примеров.
Перенос с устройств западных вендоров на UserGate правил и категорий URL / объектов / приложений. По нашему опыту, это самая трудоёмкая часть миграции. Нативно UserGate не поддерживает конвертацию политик других вендоров в свои. Пока не существует надёжного конвертера по миграции конфигурационных файлов, переиспользование исходных политик, к сожалению, возможно только частично. Кое-где потребуется заново создать и согласовать политики пользовательского доступа к URL и трафика приложений уже в терминологии категорий UserGate.
Оптимизация конфигурации сети и целых бизнес-процессов для адаптации к различиям по функциональностям между западными вендорами и UserGate. Например, Usergate не поддерживает разделение межсетевого экрана на контексты (виртуальные межсетевые экраны - VDOM). И если вы их использовали, то вам необходимо проработать оптимизацию, чтобы сеть работала без виртуальных контекстов.
Для оптимизации нагрузки на NGFW и появления дополнительной мощности вам может понадобиться выборочно отключать модули защиты, в зависимости от положения устройства. Например, если большая часть трафика проходит между сегментами приватной сети, можно отключить определенные модули и сигнатуры на устройствах между этими сегментами и задействовать эти модули уже только на границе приватной и публичной сети.
Выполнение частных особенностей настройки UserGate, которые важно учесть. Например, разделение на зоны на сетевых интерфейсах требуется задать и в Management Center и на самих устройствах. А при работе с модулем HTTPS инспекции корневой сертификат УЦ следует сделать доверенным на всех устройствах конечных пользователей. Это обеспечит прохождение HTTPS-запросов.
Чтобы учесть все эти нюансы, мы крайне рекомендуем привлекать к проекту миграции команду, имеющую соответствующий опыт и методологии. Наработки опытной команды позволят выполнить миграцию быстрее, а знание нюансов переезда между конкретной парой вендоров снимет риски срыва сроков и будущих инцидентов.
Также, если для вас критичен аптайм — покупайте премиум-поддержку от UserGate, она вам сослужит хорошую службу как минимум во время переезда.
Итог
UserGate — один из доступных для импортозамещения NGFW, который пользуется стабильным спросом среди наших клиентов. Он имеет сертификацию ФСТЭК, обладает высокой производительностью и предлагает ряд дополнительных функций, что делает его отличным вариантом для выполнении определенных задач.
Помимо базового набора из NGFW-устройств, Management Center и Log Analyzer, о которых я рассказал, и которые мы активно внедряем, UserGate развивает другие линейки устройств. Уже сейчас на их сайте доступны решения в классах IDS/IPS, SIEM (Security Information and Event Management), UTM (Unified Threat Management), фильтрации контента приложений и другие решения.
Спасибо за внимание! Приглашаю вас поделиться в комментариях вашим опытом работы с UserGate и пишите, про что вам ещё рассказать.
Комментарии (26)
Mnemonic0
26.12.2023 15:13+2ушли Cisco, Fortinet, Palo Alto
И при чём тут Usergate? Максимум - Netgate, а никак не ААА брэнды.
Ded_Keygen
26.12.2023 15:13Попытка внедрения сего продукта завершилась когда оказалось, что агент для терминального сервера в случайном режиме блокирует сетевую работу интернет браузеров, почтового клиента, клиента групповых политик и основной CRM программы. Может еще чего-то, что не заметили.
zatorax
26.12.2023 15:13К сожалению usergate не работает.
Можно зайти в телегу и почитать их чатик.
Что такое "кластер" в уг вообще не знают.
boyapavel
26.12.2023 15:13А вот тут пишут, что кластер есть https://dzen.ru/media/1integrator/10-vescei-kotorye-vy-hotite-znat-pered-vnedreniem-usergate-658a85dd2a04ce1125412ce0
0HenrY0
26.12.2023 15:13Вы скажете спасибо интегратору, который уговорил вас установить кластер МСЭ, когда будете обновлять ПО – так прерывания сервиса можно избежать.
Обновление ПО на горячую практически всегда вызывает split-brain. Под кластером производитель подразумевает что-то своё, особый путь.
Также нельзя исключать баги в обычной работе ПО – пару раз нам приходилось переключать мастер ноду и отправлять её в перезагрузку из-за нестабильности работы ПО (при редактировании настроек зон переставал работать модуль МСЭ, помогала только перезагрузка).
Нельзя исключать? Это штатная работа оборудования. Если после изменения конфигурации не потребовалась перезагрузка - повезло.
Безусловно, этот продукт не без проблем, как и многие (все?) продукты на рынке, в том числе и иностранные. Поэтому важно и то, как отрабатывает техническая поддержка – как быстро решаются проблемы.
Время решения заявки 120 рабочих дней, в которые не входят ожидание для предоставления удаленного доступа и время разработчиков на выпуск патча.
https://support.usergate.com/ru/technical-support-regulations/service-level-agreementЗа 120 дней выходит новая версия ПО и всё начинается по новому, по спирали.
1xeleon
26.12.2023 15:13Обновление ПО на горячую практически всегда вызывает split-brain. Под кластером производитель подразумевает что-то своё, особый путь.
Split-brain получится только если сильно захотеть. Алгоритм ведь простой - выводим из кластера одну ноду, обновляем, запускаем кластер на ней и выключаем на второй, обновляем вторую, включаем кластер на второй. Профит?
Соглашусь, у тех же Чеков обновление кластера куда более автоматизировано и отказоустойчиво, но сама суть одна - без кластера в процессе обновления будет грустнее, чем с ним.
oller
26.12.2023 15:13А какие NGFW реально можно рассмотреть в РФ? Ну чтобы с bgp, всякими vpn, ids и т.д...
DenSyo
26.12.2023 15:13Отметил для себя парочку на посмотреть, благо, есть пробный период, но какого-то полностью бесплатного режима нет и по этой причине ни одна пока не прижилась, чтоб познакомиться ближе. Traffic Inspector Next Generation - форк OPNsense, все её возможности. Ideco NGFW - вроде, что-то своё, документация заинтриговала, по крайней мере, возможность создания отказоустойчивого кластера есть.
modsamara
26.12.2023 15:13Тарифные планы ideco отпугнули от его рассмотрения насовсем
DenSyo
26.12.2023 15:13Тарифные планы Traffic Inspector Next Generation пугают не меньше. К сожалению, нет отечественной сборки файрволла/маршрутизатора, даже L6, с полностью бесплатным режимом и нет даже с адекватной стоимостью пожизненной лицензии. Для себя отметил перечисленное, если понадобится собирать дорогой проект с высокими требованиями. А по факту продолжаю использовать бесплатный OPNsense и MikroTik на x86 с его адекватными по стоимости лицензиями.
DTimur
26.12.2023 15:13А можно уточнить детали?
Вроде бы у Ideco более чем адекватная ценовая политика, и в первом приближении и ПАК, и программный вариант Ideco выходят дешевле UG. Особенно учитывая, что у UG не останется вариантов без ФСТЭК (не всем они нужны).modsamara
26.12.2023 15:13да я с УГ :) и не сравнивал
у нас небольшой офис, ну пусть 40 компов
и еще 20 удаленщиков и еще эти 40 почти все могут и из дома пару дней в неделе поработать
так нам в итоге нужно 40+20+40 лицензий
в итоге купили fortigate, да, пока что функции какие-то не действуют, но для нас они были не критичны, до этого вообще freebsd стоял
ivonin
26.12.2023 15:13На сегодня более-менее отвечают вашим запросам UG, Ideco, Континент, а также не вышедший ещё, но уже в стадии тестирования, продукт от Positive.
AlexanderShatalov Автор
26.12.2023 15:13C таким функционалом есть очень много отечественных NGFW, но основные конкуренты у UG это КодБез и Ideco.
ar4w
26.12.2023 15:13+1К сожалению и я займу темную сторону в этом вопросе.
Несмотря на то, что UG, на текущий момент, пожалуй один из лучших NGFW отечественной разработки, он изобилует массой недостатков.
1) Отсутствует технически подробная документация, критически важная для промышленной эксплуатации NGFW. Если работа с политиками FW интуитивно понятна и в большинстве случаев не требует особых разъяснений, то например документация на NAT должна быть технически исчерпывающей. В текущей документации https://docs.usergate.com/nat-i-marshrutizaciya_713.html не указано на каких этапах обработки пакетов меняются source и на каких destination адреса, как NAT взаимодействует с политиками FW. Packet Flow описан только для 6 версии https://docs.usergate.com/usergate-ngfw-6-packet-flow_576.html и очевидно для 7 уже не актуален, так как на практике оказывается, что при некоторых настройках NAT из процесса исключается обработка правилами FW - такие особенности должны быть жирным шрифтом выделены в документации.
2) Отсутствует публичная информация о фактической производительности ПАК. Для тех кто привык работать с асами и пр., среди которых даже не топовые железки легко работают с десятками тысяч правил, будет неприятным сюрпризом, что даже для топовых ПАК UG, 1-2 тысячи правил будет практическим потолком. Это крайне важно знать при планировании миграции.
3) На портале поддержки для зарегистрированных пользователей хотелось бы иметь доступ хотя бы к критическим багам и путям их обхода. Очевидно, что команда работает над продуктом и активно его развивает, но это так же очевидно ведет и к массе багов. Хотелось бы заранее о них узнавать, чтобы не бегать по лужайке с граблями с завязанными глазами.
В отношении миграции, автор в статье явно не упоминает конвертер, днако он есть https://github.com/ran1024/UserGate-utilities . Соглашусь, что конвертер далек от совершенства, но открытый код позволяет отладить и дописать его для миграции именно ваших политик.
Очень хочется и верю, что ребята из UG рано или поздно доработают/переделают свой NGFW, но пока могу поставить только троечку. ((
Bonov
26.12.2023 15:13+1Тоже был мучительный выбор замены пограничного шлюза, которым ранее работал казалось бы простенький GFI Kerio Control. Выбор был сделан в пользу UserGate как самого продвинутого (как казалось) решения. Но в итоге мы обрели просто массу головной боли там, где не ждали. И проблемы не только с внедрением, где мы предвидели сложности, но и с эксплуатацией.
Если в Керио было все прозразно, логично и удобно, то как работает Usergate, наверное, не знают даже его разработчики... Одно лишь системное дефолтное правило межсетевого экрана, которое должно блокировать всё, работает не так, как ожидается: блокирует не всё, в логах всех блокировки могут отсутствовать, просто черная дыра какая-то.
Приоретизация трафика отсутствует. Дико бесит отсутствие возможности подписи пользовательских элементов: нельзя подписать добавляемый IP/URL адрес, чтобы хотя бы помнить, что это... только в группу его добавить. Казалось бы мощная железка постоянно уходит в пик производительности. В правила бот-сетей команда Юзергейта добавляет все подряд, что делает невозможным использование казалось бы полезного механизма. Иногда отваливаются сетевые интерфейсы. Анализ блокировок теперь превратился в мучения. Расшифровка SSL постоянно сталкивается с проблемами в работе на многих сайтах. Обновления накатывать страшно: это перерыв в работе до 20 минут и риски зависания. За полтора года использования никаких значимых улучшений в продукте сделано не было.
Мне кажется, перечислять я могу долго, но факт в том, что второй раз я бы Usergate не выбрал никогда...
PAVEL_Mityakin
26.12.2023 15:13Из опыта эксплуатации на объектах КИИ пришли к выводу: все что угодно только не usergate
mt9
26.12.2023 15:13Имея опыт эксплуатации продукта UserGate с 2019-го года (начиная с 5-ой версии UTM) никак не могу согласиться с наименованием NGFW (Next-Generation Firewall).
Не могу понять, в частности, категорического неприятия со стороны UserGate протокола IPv6. Это как-то не по Next-Generation'ски.
В качестве простого Интернет-шлюза с фильтрацией трафика продукт работает и не создает особых проблем. Но часть заявленного функционала просто не работает.
Если возможно, поделитесь опытом - среди большого количества проведенных инсталляций был ли у вас удачный опыт настройки публикаций через reverse proxy на UserGate UTM или NGFW?
giveittome
26.12.2023 15:13Да, делал реверс прокси. Переадресацию не ssl он не умеет делать. Нужно на веб сервере этим заниматься
Bonov
26.12.2023 15:13Да, реверс-прокси работает, но TLS 1.3 не поддерживает. Завелось только с TLS 1.2. С шифрами чет у UG плохо всё.
Houl
26.12.2023 15:13По задумке UG отличная вещь, но баги, баги, баги, баги.... баги.... И это при урезанном функционале.
Rastler
Хуже NGFW Usergate достаточно сложно найти.