8 (3462) 70-02-80 Время работы: Пн-Пт 08-20

Релиз Ideco ICS 6.9. Подробности

Ideco ICS 6.9. Подробности

В первый месяц нового 2017 года мы рады представить вам обновленную версию шлюза безопасности
Ideco ICS.

Работа над этой версией продолжалась более трех месяцев и включала разработку новой функциональности и полностью переписанных с нуля модулей, тщательное тестирование, в том числе
бета-тестирование в сетях с большим количеством пользователей и разнообразных устройств.

Новые возможности

Новый модуль интеграции с Active Directory

В новой версии были переписаны все модули, отвечающие за интеграцию Ideco ICS с Microsoft Active Directory:

  • Вход в домен. Теперь для присоединения Ideco ICS к домену достаточно прав обычного пользователя.
  • Импорт пользователей. Импортировать LDAP-группы и группы безопасности Active Directory стало гораздо удобнее. Кроме того импорт большого количества пользователей будет осуществлен в несколько раз быстрее, чем раньше. Данная возможность была протестирована в доменах с более чем 20 000 пользователей.
  • Прозрачная Single Sign-On авторизация. В новой версии для авторизации пользователей используется безопасный протокол Kerberos. Прозрачная авторизация пользователей возможна как при использовании Ideco ICS в качестве основного шлюза, так и в схеме с прямыми подключениями к прокси-серверу.

Статья по настройке интеграции в документации.

Ideco ICS AD

HTTPS-фильтрация без подмены сертификатов

Современные решения для контентной фильтрации зашифрованного HTTPS-трафика, как правило, используют метод ssl-bump. Сервер расшифровывает HTTPS-трафик, производит его контентную фильтрацию, а затем снова зашифровывает трафик для передачи пользователю собственным сертификатом. При этом обязательна настройка доверия этому сертификату сервера на пользовательских устройствах. В некоторых случаях (например, при большом количестве устройств в сети без централизованного управления или при использовании мобильных не корпоративных устройств) установка собственных сертификатов в качестве доверенных невозможна.

Многие веб-сайты используют различные методы защиты от подмены сертификата, воспринимая её, как атаку Man in the middle (MITM): SSL Pinning, HSTS. Поэтому в списки исключения из HTTPS-фильтрации приходится добавлять все новые и новые сайты, переходящие на данные технологии. Некоторые же приложения (Skype, служба обновлений Windows, клиент-банки) могут не использовать системные сертификаты и не принимать сторонние ключи шифрования.

Для решения этой проблемы в новой версии Ideco ICS, наряду с уже существующим методом ssl-bump, внедрен метод фильтрации HTTPS-сайтов на основе Server Name Indication (SNI). При этом фильтрация сайтов по категориям происходит без подмены сертификата и связанных с этим проблем. Единственным ограничением данной технологии является то, что сайты фильтруются по категориям исходя из информации только о домене (а не полному URL и контенту) и также попадают в систему веб-отчетности. При этом в большинстве случаев фильтрация по используемой нами базе контентной фильтрации остается релевантной.

Метод фильтрации сайтов на основе анализа SNI включен по умолчанию как в новых установках Ideco ICS, так и при обновлении до данной версии.

Таким образом, можно легко настроить контентную фильтрацию для блокировки социальных сетей, программ удаленного управления (например, TeamViewer) и др. ресурсов, с блокировкой которых ранее могли возникать сложности.

Статья по настройке фильтрации в документации.

Ideco ICS HTTPS

Маршрутизация нескольких локальных сетей в IPsec VPN

Теперь при объединении нескольких офисов по IPsec VPN (site-to-site) есть возможность настройки маршрутизации нужных локальных сетей, если в одном или в нескольких офисах имеется более одной локальной подсети.

Предварительный спам-фильтр: защита от спам-ботов и DoS-атак

В результате внедрения предварительного спам-фильтра в почтовый сервер Ideco ICS (спам-фильтр включен по умолчанию) существенно повышен уровень фильтрации спама и защита сервера от подключений спам-ботов и DoS-атак. В этот же предварительный фильтр перенесена фильтрация спама на основе DNSBL для более эффективной работы и снижения нагрузки на почтовый сервер при большом количестве входящих сообщений.

Благодаря усиленным настройкам безопасности и новой системе фильтрации SMTP-трафика, количество потенциальных brute force атак на почтовый сервер уменьшится на 70-80%, как показало тестирование на реальных почтовых серверах.

Безопасность

Обновлено множество используемых в дистрибутиве пакетов (включая ядро Linux) до последних версий с интегрированными патчами безопасности.

Почтовый сервер и фильтрация почты

Кроме предварительного спам-фильтра, о котором рассказано выше, почтовый сервер в Ideco ICS был дополнительно усовершенствован для повышения его безопасности. Мы отключили устаревшие небезопасные протоколы шифрования для предотвращения атаки типа «человек посередине» и прослушивания почтового трафика. Исправлена конфигурация службы fetchmail для получения большего количества писем из внешних почтовых ящиков.

Другие изменения

В дистрибутиве и функциональности сервера произведено множество изменений и исправлений. Убраны устаревшие опции, ускорена работа критичных к производительности сервисов. Режим удаленного помощника теперь можно включать и из локального меню сервера.

Подробный список изменений доступен в changelog.

В ходе работы над новой версией разработчики выполнили более 250 задач. Обновиться до новой версии можно с помощью системы автоматических обновлений (версия будет включена в систему с 17 января) или с загрузочного CD/USB.

Задать вопросы о возможностях новой версии, а также обсудить её с нашими специалистами и пользователями можно на форуме.

()
Ссылка на источник: https://ideco.ru/company/blog/ics690
17 января 2017

Возврат к списку