Релиз Ideco ICS 6.9. Подробности
- Главная страница
- Новости
- Релиз Ideco ICS 6.9. Подробности
Ideco ICS 6.9. Подробности
В первый месяц нового 2017 года мы рады представить вам обновленную версию шлюза безопасности
Ideco ICS.
Работа над этой версией продолжалась более трех месяцев и включала разработку новой функциональности и полностью переписанных с нуля модулей, тщательное тестирование, в том числе
бета-тестирование в сетях с большим количеством пользователей и разнообразных устройств.
Новые возможности
Новый модуль интеграции с Active Directory
В новой версии были переписаны все модули, отвечающие за интеграцию Ideco ICS с Microsoft Active Directory:
- Вход в домен. Теперь для присоединения Ideco ICS к домену достаточно прав обычного пользователя.
- Импорт пользователей. Импортировать LDAP-группы и группы безопасности Active Directory стало гораздо удобнее. Кроме того импорт большого количества пользователей будет осуществлен в несколько раз быстрее, чем раньше. Данная возможность была протестирована в доменах с более чем 20 000 пользователей.
-
Прозрачная Single Sign-On авторизация. В новой версии для авторизации пользователей используется безопасный протокол Kerberos. Прозрачная авторизация пользователей возможна как при использовании Ideco ICS в качестве основного шлюза, так и в схеме с прямыми подключениями к прокси-серверу.
Статья по настройке интеграции в документации.
HTTPS-фильтрация без подмены сертификатов
Современные решения для контентной фильтрации зашифрованного HTTPS-трафика, как правило, используют метод ssl-bump. Сервер расшифровывает HTTPS-трафик, производит его контентную фильтрацию, а затем снова зашифровывает трафик для передачи пользователю собственным сертификатом. При этом обязательна настройка доверия этому сертификату сервера на пользовательских устройствах. В некоторых случаях (например, при большом количестве устройств в сети без централизованного управления или при использовании мобильных не корпоративных устройств) установка собственных сертификатов в качестве доверенных невозможна.
Многие веб-сайты используют различные методы защиты от подмены сертификата, воспринимая её, как атаку Man in the middle (MITM): SSL Pinning, HSTS. Поэтому в списки исключения из HTTPS-фильтрации приходится добавлять все новые и новые сайты, переходящие на данные технологии. Некоторые же приложения (Skype, служба обновлений Windows, клиент-банки) могут не использовать системные сертификаты и не принимать сторонние ключи шифрования.
Для решения этой проблемы в новой версии Ideco ICS, наряду с уже существующим методом ssl-bump, внедрен метод фильтрации HTTPS-сайтов на основе Server Name Indication (SNI). При этом фильтрация сайтов по категориям происходит без подмены сертификата и связанных с этим проблем. Единственным ограничением данной технологии является то, что сайты фильтруются по категориям исходя из информации только о домене (а не полному URL и контенту) и также попадают в систему веб-отчетности. При этом в большинстве случаев фильтрация по используемой нами базе контентной фильтрации остается релевантной.
Метод фильтрации сайтов на основе анализа SNI включен по умолчанию как в новых установках Ideco ICS, так и при обновлении до данной версии.
Таким образом, можно легко настроить контентную фильтрацию для блокировки социальных сетей, программ удаленного управления (например, TeamViewer) и др. ресурсов, с блокировкой которых ранее могли возникать сложности.
Статья по настройке фильтрации в документации.
Маршрутизация нескольких локальных сетей в IPsec VPN
Теперь при объединении нескольких офисов по IPsec VPN (site-to-site) есть возможность настройки маршрутизации нужных локальных сетей, если в одном или в нескольких офисах имеется более одной локальной подсети.
Предварительный спам-фильтр: защита от спам-ботов и DoS-атак
В результате внедрения предварительного спам-фильтра в почтовый сервер Ideco ICS (спам-фильтр включен по умолчанию) существенно повышен уровень фильтрации спама и защита сервера от подключений спам-ботов и DoS-атак. В этот же предварительный фильтр перенесена фильтрация спама на основе DNSBL для более эффективной работы и снижения нагрузки на почтовый сервер при большом количестве входящих сообщений.
Благодаря усиленным настройкам безопасности и новой системе фильтрации SMTP-трафика, количество потенциальных brute force атак на почтовый сервер уменьшится на 70-80%, как показало тестирование на реальных почтовых серверах.
Безопасность
Обновлено множество используемых в дистрибутиве пакетов (включая ядро Linux) до последних версий с интегрированными патчами безопасности.
Почтовый сервер и фильтрация почты
Кроме предварительного спам-фильтра, о котором рассказано выше, почтовый сервер в Ideco ICS был дополнительно усовершенствован для повышения его безопасности. Мы отключили устаревшие небезопасные протоколы шифрования для предотвращения атаки типа «человек посередине» и прослушивания почтового трафика. Исправлена конфигурация службы fetchmail для получения большего количества писем из внешних почтовых ящиков.
Другие изменения
В дистрибутиве и функциональности сервера произведено множество изменений и исправлений. Убраны устаревшие опции, ускорена работа критичных к производительности сервисов. Режим удаленного помощника теперь можно включать и из локального меню сервера.
Подробный список изменений доступен в changelog.
В ходе работы над новой версией разработчики выполнили более 250 задач. Обновиться до новой версии можно с помощью системы автоматических обновлений (версия будет включена в систему с 17 января) или с загрузочного CD/USB.
Задать вопросы о возможностях новой версии, а также обсудить её с нашими специалистами и пользователями можно на форуме.
Что нового?
Выпуск приложения "1С:Рабочее место кассира" 1.02
Релиз мобильного приложения "1С:Мобильная касса" 3.9. Эквайринг Сбербанка. Работа с весами. Операции с ФН в MSPOS
Весеннее обновление Ideco UTM
Приглашаем пройти обучение по настройке отчетов в программе 1С:Зарплата и управление персоналом
Компания
Акции
Свяжитесь с нами:
Адрес: г. Сургут, ул. Университетская, д 11
Телефон: 8 (3462) 70-02-80