Всем привет! Меня зовут Влад Пермяков, я в ИБ уже больше 15 лет и занимаю должность старшего системного инженера в К2 Кибербезопасность. Наша компания — интегратор и консультант по ИБ-решениям, поэтому мы активно тестируем имеющиеся на рынке продукты и используем лучшие из них как в собственной работе, так и в клиентских проектах.

В этой статье я расскажу об актуальном для многих вопросе — миграции с UserGate 6 на версию 7. После ухода зарубежных разработчиков с российского рынка решения UserGate показали себя эффективной альтернативой иностранным продуктам, закрыв многие проблемы импортозамещения. Последняя версия ПО UserGate была значительно улучшена и стала еще более серьезным инструментом в борьбе с ИБ-угрозами. Под катом я собрал все о преимуществах UserGate v.7 с инструкцией о переходе на нее с предыдущей версии.  

О возможностях UserGate 7

Наверно все, кто решил прочитать статью, в курсе, но на всякий оставлю тут описание UserGate, как его определяет сам вендор.

UserGate объединяет в себе межсетевой экран следующего поколения, маршрутизацию, шлюзовой антивирус, систему обнаружения и предотвращения вторжений (СОВ), VPN-сервер, систему контентной фильтрации, модуль мониторинга и статистики и многие другие функции. Продукт позволяет управлять сетью компании, оптимизировать используемый ею трафик и эффективно предотвращать интернет-угрозы.

Седьмая версия UserGate вышла в прошлом году. На данный момент доступна v.7.2. Она существенно доработана и ориентирована на работу в высоконагруженных сетевых сервисах. Одна из главных фишек — более гибкое управление инфраструктурой, а значит, больший контроль за трафиком в своей сети. 

За год тестирования из основных преимуществ могу выделить: 

  • расширенный функционал для диагностики и мониторинга как входящего, так и исходящего трафика;

  • отправку расшифрованного трафика на внешние серверы и проверку расшифрованного трафика SSL с помощью СОВ/IDPS;

  • интеграцию с каталогами домена с использованием UserID;

  • новый инструмент UserGate Policy Language, с которым стало проще писать правила безопасности, можно руками составлять очень точные и емкие правила;

  • функциональный CLI, в котором доступны как инструменты мониторинга, так и возможность настройки МСЭ — от создания bond-интерфейсов и маршрутизации до настройки VPN и сборки кластера;

  • обновленный (но пока не сильно) веб-интерфейс.

Ждем доработки/выхода следующих функций:

  • UserGate Client — новое решение, которое объединит в себе VPN, NAC и EDR.

  • Новый WAF, который должен расширить функционал UserGate NGFW.

  • UserGate SIEM с расширенным функционалом IRP и SOAR.

  • Устранения ошибок web-интерфейса при инсталляции большого кол-ва VLAN. Если в UG создавать больше 30 VLAN, то интерфейс выдает ошибку веб-консоли, а кластер перестает успешно переключать роль master.

Переходим на Usergate 7.2 — инструкция

Шаг 1. Бэкап 

Делаем экспорт конфигурации вашей старой v.6.x.x штатными средствами в текущей версии. В разделе Управление устройством нажать на ссылку Экспорт настроек-->Экспорт. Система сохранит текущие настройки сервера под именем database.bin.

Также советую сделать полную резервную копию жесткого диска ПАК. Если вас что-то не устроит после обновления, всегда можно будет восстановиться на момент бэкапа.

Понадобится внешний жесткий диск или флэшка, объемом сопоставимая с HDD ПАК.

Если у вас кластер, то выключаем сначала пассивную ноду, бэкапим, а потом выключаем мастер ноду и бэкапим ее.

Шаг 2. Установка новой версии

Проводим установку образа. Это занимает в среднем 1 час, в зависимости от модели оборудования. Подробная инструкция есть на сайте вендора.

После обновления понадобятся новые ключи от 7 версии, от 6-ой не подойдут.

Шаг 3. Импорт старых конфигураций

Активируйте и загрузите конфиги со старой версии 6. В разделе Управление устройством нажать на ссылку Экспорт настроек-->Импорт и указать путь к ранее созданному файлу настроек. Указанные настройки применятся к серверу, после чего сервер будет перезагружен.

Подводные камни — правила L7 и СОВ могут перенестись некорректно или вообще не перенестись. Их нужно будет пересоздать вручную.

Как пишет разработчик, при импорте старых конфигураций на версию 7.1.x правила межсетевого экрана, которые содержат L7, будут принудительно отключены. У них будет выставлен action = accept и будет добавлен созданный L7 профиль. В профили будут добавлены фильтры для каждой группы приложений по следующим правилам:

  • для группы «All» — фильтр «Any signatures»;

  • для групп по категориям — фильтр вида «category = имя или номер категории»;

  • для пользовательских (custom) групп — фильтр включающий идентификаторы сигнатур, вида «id IN (...)».

Профили СОВ при импорте будут преобразованы в новый формат. В них будет один фильтр вида «id IN (...)», который будет включать все идентификаторы сигнатур СОВ из профиля СОВ старой версии.

Правила СОВ импортироваться не смогут. Пользователю необходимо самому настроить заново IDPS после завершения операции с импортом, используя новые профили СОВ и правила межсетевого экрана.

После импорта сигнатур СОВ и приложений нужно будет обязательно запустить их апдейт.

Как показал опытный путь, необходимо выдержать паузу от 20 сек между операциями. Например, вы создали скрипт 1 VLAN, ждем 20 сек и создаем следующий.

Вывод 

NGFW UserGate — это пока один из немногих продуктов на российском рынке, который реально конкурирует с зарубежными и решает многие вопросы импортозамещения. Главный плюс, который мы с командой видим, — развитие полноценной экосистемы UG SUMMA, куда входят: NGFW, DCFW, ICS, EDR, WAF, MC и SIEM.

Переход на UserGate 7 — это несложный процесс. Но, если у вас множество политик безопасности, перенести их на новую ОС совсем без проблем не получится. Тут точно не обойтись без «ручной» работы ИБ-специалиста. 

Комментарии (6)


  1. singerfox
    05.12.2024 13:32

    А в 7 версии появилась возможность убить VPN сессию пользователя?


    1. nordray
      05.12.2024 13:32

      Не знаю как на счёт сессии, но такой железкой под 10кг не только пользователя можно убить..


    1. Shaman_RSHU
      05.12.2024 13:32

      Раньше можно было только, если передёрнуть


    1. VPermyakov Автор
      05.12.2024 13:32

      Пока нет(


  1. ErshoFF
    05.12.2024 13:32

    Просто замечания из личного опыта на 2024.12.05:

    • согласно https://docs.usergate.com/izmeneniya-v-ngfw-7-243/ не было ни одной стабильной версии.

    • бета версия 7.2 (цитата с https://docs.usergate.com/243/#usergate-720(build-72070211r-29112024) "Версия в стадии бета-тестирования и не рекомендуется для массовой установки в производственную инфраструктуру (production). Задача этой сборки: проверка в "боевых условиях" у лояльных клиентов, сбор обратной связи и выявление потенциальных недостатков на ранней стадии."

    • в статье как-то обошли момент с размером настроек которые необходимо сохранить до обновления, этот размер прям впечатляет и влезет не на каждую флешку.

    • простой оборудования (при отсутствии кластера) согласно статьи более 2 часов.

    • производитель UserGate заявляет, что под капотом нет OpenSource, но на скринах статьи есть GPL-ный GRUB.

    • подтверждаю особенность интерфейса "после нажатия кнопки уходить в себя (без прогресс-бара)" и не дай бог перезагрузить страницу в этот момент требует привыкания. Что выглядит странно когда изделие на процессоре Xeon.

    • столкнулись, что заявленный в инструкции функционал (он там прям описан) не работает. По заявке производителю описанный функционал был доработан, но до сих пор не было стабильной версии (7.2) с этим уже описанным в инструкции функционалом - прошло 3 месяца, ждём.


    1. Bonov
      05.12.2024 13:32

      Я категорически не согласен с утверждениями в статье, что это убогое решение может хоть как-то конкурировать с зарубежными. Аналогом уж точно не назовешь.

      Глюки на глюках. Последнее с чем столкнулись - это то, что правило блокировки фишинговых сайтов по спискам URL, которые составляет сам UserGate и не дает ни просмотреть, ни изменить, начало блочиться большинство нормальных сайтов в том числе зоне ru. К примеру, Википедия. И, спрашивается, нафига такое нужно, даже еще и за наши деньги...

      Про тормоза, да и про все сказанное выше в комментарии, полностью подтверждаю.