Привет, Хабр! Сегодня расскажу про опыт внедрения NGFW Usergate C150: тестовая прошивка из коробки, две прошивки с нуля, лего шаблон для мониторинга и утечка памяти. Возможно описанный опыт поможет в выборе межсетевого экрана.

Kandinsky 3.1 Flash по запросу "Системный администратор долго внедряет firewall в корпоративную сеть"
Kandinsky 3.1 Flash по запросу «Системный администратор долго внедряет firewall в корпоративную сеть»

Зачем NGFW и почему Usergate

Пришло время заменить установленный межсетевой экран Huawei, который в целом устраивал, за исключением сертификата ФСТЭК. Huawei имел таковой, пока действие сертификата не приостановили, потом возобновили, но в итоге не возобновили.

В закупке оказался Usergate C150. Спецификация устройства декларирует многое, в том числе:

  • 16 ГБ оперативной памяти для обеспечения повышенной стабильности работы устройства

  • Соответствие требованиям законодательства РФ

    • UserGate имеет действующий сертификат ФСТЭК России (№3905)

    • UserGate внесен в Единый реестр российских программ для электронных вычислительных машин и баз данных (№1194).

    • Аппаратная платформа UserGate C150 включена в единый реестр российской радиоэлектронной продукции Минпромторга России.

Поставка устройства задержалась примерно на месяц. И вот, после новогодних праздников 2024 заветная коробка была получена.

Настраиваем Usergate C150: прошивки, лего шаблон для Zabbix и общение с поддержкой

Состав поставки не отличается богатым комплектом: Usergate C150, один блок питания и формуляр на устройство. Включаем и приступаем к настройке.

Тестовая прошивка из коробки

Устройства Usergate работают на собственной ОС UGOS:

Разработчики уделили много внимания созданию собственной платформы, не основанной на использовании чужого исходного кода и сторонних модулей.

Такой подход позволяет обеспечивать высокое качество работы продукта, а также его скорейшее развитие и адаптацию для самых сложных проектов.

Для полноценного функционирования ОС активируем её полученным ключом. С этого момента начинается отсчет годовой лицензии, в которой включены модули «Security Update (SU)» и «Advanced Threat Protection (ATP)».

Перед непосредственно настройкой нужно обновить ОС. Подключаем C150 к интернету, проверяем наличие обновлений. Их нет, что странно. В личном кабинете, который активируется только через поставщика, есть новая версия прошивки 7.0.1. Скачиваем её, устанавливаем по инструкции вендора. Обновление зависает: за сутки статуса «в процессе» ничего не поменялось. Окей, идем в личный кабинет и открываем первую заявку в поддержке.

По результатам переписки с поддержкой выясняется: устройство пришло с тестовой прошивкой 7.0.0.196RC, обновление на релизную версию 7.0.1.1007R «поверх» невозможно, только с нуля и через консоль. Инструкцию можно посмотреть тут.

Всякое бывает, может на выходном контроле не досмотрели. Накатываем прошивку с нуля, переходим к настройке базового мониторинга.

Первая неделя внедрения завершилась.

Лего шаблон Zabbix

В документации вендора есть упоминание шаблона Zabbix с примечанием:

При необходимости администратор на основе информации в текущем шаблоне может добавить новые триггеры, графики и элементы данных по интерфейсам, которые требуют наблюдения.

Импортируем шаблон, настраиваем хост в Zabbix.

При более детальном рассмотрении обнаружилось, что в шаблоне настроен мониторинг одного порта — интерфейса управления port0. Какой это порт сходу непонятно, на корпусе сетевые порты промаркированы port0-port7 и MGMT.

Фронтальная панель Usergate C150
Фронтальная панель Usergate C150

При этом port0 по версии панели управления активен.

Зеленая иконка напротив port0 обозначает, что порт активен
Зеленая иконка напротив port0 обозначает, что порт активен

А по версии Zabbix — нет.

Видишь активность порта? Нет. А я вижу
Видишь активность порта? Нет. А я вижу

Обнаружения сетевых интерфейсов (Network interfaces discovery), прототипов элементов данных и триггеров тоже нет. Также можно отметить триггеры на блоки питания: они по умолчанию не учитывают был ли когда‑нибудь подключен блок питания и не закрываются вручную.

Открываем вторую заявку в поддержку в надежде на получение шаблона для мониторинга. Результаты переписки показали, что наличие шаблона Zabbix означает предоставление вендором примера мониторинга. Дальше нужно настраивать руками, обнаружения интерфейсов в шаблоне нет, как нет и индивидуальных шаблонов под аппаратные платформы, на момент написания статьи платформ у вендора 8.

Смирившись с ручным созданием шаблона, вооружаемся snmpwalk, MIB файлам от вендора и идем готовить шаблон. Можно было бы клонировать мониторинг порта port0 и после правки OID получить мониторинг всех портов port0-port7, но выяснилось, что в прошивке 7.0.1.1007 есть ошибочные названия (IF‑MIB::ifDescr), которые предлагается «пока не использовать», вендор обещает исправить в следующих обновлениях.

Прошёл ещё месяц внедрения.

Обновление поверх будет, но позже

В начале апреля вышла версия UGOS 7.1.0. При этом версия 7.1 уже выходила осенью 2023 года (1, 2), но весной её выпустили ещё раз. Пока искал пресс‑релизы про 7.1 нашёл ещё один от вчерашнего дня на сайте вендора, в котором пишут:

Дата публикации: 30.05.2024

Коллеги, мы рады сообщить, что боевой релиз UserGate NGFW 7.1 наконец состоялся.

Вернёмся к обновлению. В 7.1.0 по словам поддержки исправили названия при опросе по SNMP. В разделе загрузок в личном кабинете для версии 7.1.0 находятся файлы только для clean installing. На закономерный вопрос поддержка ответила, что обновление с версии 7.0.1 на версию 7.1.0 не предусмотрено, установка только с нуля. А установка следующих обновлений будет происходить поверх.

Ладно, настроек как таковых пока не было, можно второй раз прошить коробку с нуля. Прошили, увидели на консоли ошибки ERROR: Couldn't allocate SSH CTX data ERROR: while init SSH server.

Консоль спамит ошибкой инициализации SSH
Консоль спамит ошибкой инициализации SSH

Беглый поиск не дал результатов, открываем ещё одну заявку в поддержку. Диагноз: «В некоторых случаях на C150 не сгенерирован закрытый ключ ssh». Лечение: сгенерировать ключ, загрузить его на TFTP сервер и импортировать на устройство в режиме PMC. Окей, от консоли после второй прошивки с нуля далеко не ушли, ключ ssh вручную добавили.

После прошивки с нуля не выполнялась активация с ошибкой «Ошибка проверки ответа от сервера». Пока ждем ответ поддержки, совместно с ИБ находим правило блокировки доступа к некоторым IP‑адресам CDN Cloudflare. После добавления IP‑адреса C150 в исключения активация прошла. Поддержка на вопрос об использовании CDN Cloudflare для активации не ответила.

Ещё одна неделя внедрения позади.

Zabbix: High memory utilization

На базе шаблона от вендора собрали свой с добавлением обнаружения сетевых интерфейсов и расчета пропускной способности порта. Когда (если) он будет готов, выложу и добавлю ссылку.

Устройство стояло в простое, без нагрузки, с единственным активным интерфейсом управления. За примерно 10 дней такого аптайма объём занятой оперативной памяти сделал х2 с 30% до 60%.

Stonks по потреблению ОЗУ
Stonks по потреблению ОЗУ

А если перезагрузить? Объём занятой оперативной памяти вернулся к 30%.

Момент перезагрузки заметен невооруженным взглядом
Момент перезагрузки заметен невооруженным взглядом

Тем не менее очередная заявка в поддержку была открыта.

Поддержка запросила включение удаленного помощника, после чего сообщила, что выявлена утечка памяти, решения пока нет. На вопрос о сроках появления решения поддержка ответила, что не располагает информацией, у разработчиков расписаны спринты по задачам и в какой из них войдет фикс утечки памяти неизвестно

Через несколько дней заявка пыталась автоматически закрыться из‑за отсутствия ответа, попросил перевести её в статус, в котором она не будет пытаться закрыться. Между майскими поддержка снова запросила включение удаленного помощника, спросила вопросы, которые уже были по большей части отвечены ранее, и удалилась искать решение. Последний статус — патч находится на стадии тестирования. На уровне SLA «Стандартная техническая поддержка (Standard)» время решения с гарантией решения 100% — 120 рабочих дней. Возможности протестировать уровень SLA «Расширенная техническая поддержка (Premium)» нет, да и в целом тестирования для одного внедрения даже с изыбтком.

Ещё один месяц внедрения в прошлом.

Вместо заключения

К завершению подходит 5 месяц внедрения NGFW Usergate C150. Ещё завершается 5 месяц подписки, по окончанию которой никаких обновлений ОС предоставляться не будет, даже если обнаружены критические уязвимости. А ОС UGOS 7.1.0 успела выйти два, возможно даже три раза.

На одной из конференций пресейл Usergate обещал, что после 7.1.0 все обновления будут устанавливаться поверх, а сами обновления будут выходить ежемесячно.

За соседним стендом Пресейл Positive Technologies рассказал про скорый выпуск первого «железного» продукта — PT NGFW, на Хабре была статья про его тестирование. По стоимости озвучили ориентир на 2-3 млн рублей, примерно x5-x6 от стоимости Usergate C150 при одинаковых требованиях по производительности и количеству пользователей. На тот момент в PT NGFW не было NAT, должны были представить на PHD в конце мая, на странице продукта на момент написания статьи NAT уже есть.

Пока готовил статью увидел в публикации Гринатома формулировку, которая, наверное, наиболее полным образом описывает наш опыт с Usergate:

В общем, мы опять огляделись в поисках аналогов для проектов нашего масштаба, взяли решения нескольких вендоров для сравнения, чуть не сошли с ума от прекрасных стратегий их продажи и доработок продуктов прямо во время презентаций, плюнули и написали своё отраслевое решение. Которое ещё и предлагаем другим российским компаниям.

Ждём выхода патча для решения утечки памяти. Stay tuned.

Комментарии (4)


  1. Desert-Eagle
    31.05.2024 09:14

    Перестали рассматривать эту систему, когда на тестах выяснилось что нет нормального ВПНа в системе.

    1. Вы не подключите USGT в режиме site-to-site в качестве сервера, если у вас в сети есть стороннее оборудование. При таком раскладе USGT может выступать только как точка. А нам нужно чтобы в центре был USGT и к нему подключалось 3 USGT и 2 микротика/huawei.

    2. В последней версии вроде исправили, но до 7.1.0 система использовала IKE, которую уже давно выпилили даже из андройда 12-ой (сейчас 15), т.е. с новых телефонов вы не подключитесь по ВПНу. Но вроде сейчас уже добавили IKEv2. Ждем Ghost.


  1. 0HenrY0
    31.05.2024 09:14

    Вот что бывает, когда пробуешь самостоятельно внедрить отечественное решение без помощи интегратора и без предварительного обучения.

    Здесь "next->next->finish" не работает. Плавали, знаем. Скупой платит дважды.


    1. Kvix
      31.05.2024 09:14

      Вечно сырой юзергей..., сам продукт относительно не дорогой, но вот когда я запросил выполнить обновление с 5 на 6-ю версию, с сохранением всех настроек, выкатили стоимость почти равную стоимости самого UG C100... Послал и остался на пятой. Тем временем уже 7-ая версия которая также не умеет обновляться...


  1. paulsv77
    31.05.2024 09:14

    УГ ОС - название говорит само за себя