UserGate 7: итоги теста + переход со старых версий
Всем привет! Меня зовут Влад Пермяков, я в ИБ уже больше 15 лет и занимаю должность старшего системного инженера в К2 Кибербезопасность. Наша компания — интегратор и консультант по ИБ-решениям, поэтому мы активно тестируем имеющиеся на рынке продукты и используем лучшие из них как в собственной работе, так и в клиентских проектах.
В этой статье я расскажу об актуальном для многих вопросе — миграции с UserGate 6 на версию 7. После ухода зарубежных разработчиков с российского рынка решения UserGate показали себя эффективной альтернативой иностранным продуктам, закрыв многие проблемы импортозамещения. Последняя версия ПО UserGate была значительно улучшена и стала еще более серьезным инструментом в борьбе с ИБ-угрозами. Под катом я собрал все о преимуществах UserGate v. 7 с инструкцией о переходе на нее с предыдущей версии.
О возможностях UserGate 7
Наверно все, кто решил прочитать статью, в курсе, но на всякий оставлю тут описание UserGate, как его определяет сам вендор.
UserGate объединяет в себе межсетевой экран следующего поколения, маршрутизацию, шлюзовой антивирус, систему обнаружения и предотвращения вторжений (СОВ), VPN-сервер, систему контентной фильтрации, модуль мониторинга и статистики и многие другие функции. Продукт позволяет управлять сетью компании, оптимизировать используемый ею трафик и эффективно предотвращать интернет-угрозы.
Седьмая версия UserGate вышла в прошлом году. На данный момент доступна v. 7.2. Она существенно доработана и ориентирована на работу в высоконагруженных сетевых сервисах. Одна из главных фишек — более гибкое управление инфраструктурой, а значит, больший контроль за трафиком в своей сети.
За год тестирования из основных преимуществ могу выделить:
расширенный функционал для диагностики и мониторинга как входящего, так и исходящего трафика;
отправку расшифрованного трафика на внешние серверы и проверку расшифрованного трафика SSL с помощью СОВ/IDPS;
интеграцию с каталогами домена с использованием UserID;
новый инструмент UserGate Policy Language, с которым стало проще писать правила безопасности, можно руками составлять очень точные и емкие правила;
функциональный CLI, в котором доступны как инструменты мониторинга, так и возможность настройки МСЭ — от создания bond-интерфейсов и маршрутизации до настройки VPN и сборки кластера;
обновленный (но пока не сильно) веб-интерфейс.
Ждем доработки/выхода следующих функций:
UserGate Client — новое решение, которое объединит в себе VPN, NAC и EDR.
Новый WAF, который должен расширить функционал UserGate NGFW.
UserGate SIEM с расширенным функционалом IRP и SOAR.
Устранения ошибок web-интерфейса при инсталляции большого кол-ва VLAN. Если в UG создавать больше 30 VLAN, то интерфейс выдает ошибку веб-консоли, а кластер перестает успешно переключать роль master.
Переходим на Usergate 7.2 — инструкция
Шаг 1. Бэкап
Делаем экспорт конфигурации вашей старой v. 6.x.x штатными средствами в текущей версии. В разделе Управление устройством нажать на ссылку Экспорт настроек-->Экспорт. Система сохранит текущие настройки сервера под именем database.bin.
Также советую сделать полную резервную копию жесткого диска ПАК. Если вас что-то не устроит после обновления, всегда можно будет восстановиться на момент бэкапа.
Понадобится внешний жесткий диск или флэшка, объемом сопоставимая с HDD ПАК.
Если у вас кластер, то выключаем сначала пассивную ноду, бэкапим, а потом выключаем мастер ноду и бэкапим ее.
Шаг 2. Установка новой версии
Проводим установку образа. Это занимает в среднем 1 час, в зависимости от модели оборудования. Подробная инструкция есть на сайте вендора.
После обновления понадобятся новые ключи от 7 версии, от 6-ой не подойдут.
Шаг 3. Импорт старых конфигураций
Активируйте и загрузите конфиги со старой версии 6. В разделе Управление устройством нажать на ссылку Экспорт настроек-->Импорт и указать путь к ранее созданному файлу настроек. Указанные настройки применятся к серверу, после чего сервер будет перезагружен.
Подводные камни — правила L7 и СОВ могут перенестись некорректно или вообще не перенестись. Их нужно будет пересоздать вручную.
Как пишет разработчик, при импорте старых конфигураций на версию 7.1.x правила межсетевого экрана, которые содержат L7, будут принудительно отключены. У них будет выставлен action = accept и будет добавлен созданный L7 профиль. В профили будут добавлены фильтры для каждой группы приложений по следующим правилам:
для группы «All» — фильтр «Any signatures»;
для групп по категориям — фильтр вида «category = имя или номер категории»;
для пользовательских (custom) групп — фильтр включающий идентификаторы сигнатур, вида «id IN (…)».
Профили СОВ при импорте будут преобразованы в новый формат. В них будет один фильтр вида «id IN (…)», который будет включать все идентификаторы сигнатур СОВ из профиля СОВ старой версии.
Правила СОВ импортироваться не смогут. Пользователю необходимо самому настроить заново IDPS после завершения операции с импортом, используя новые профили СОВ и правила межсетевого экрана.
После импорта сигнатур СОВ и приложений нужно будет обязательно запустить их апдейт.
Как показал опытный путь, необходимо выдержать паузу от 20 сек между операциями. Например, вы создали скрипт 1 VLAN, ждем 20 сек и создаем следующий.
Вывод
NGFW UserGate — это пока один из немногих продуктов на российском рынке, который реально конкурирует с зарубежными и решает многие вопросы импортозамещения. Главный плюс, который мы с командой видим, — развитие полноценной экосистемы UG SUMMA, куда входят: NGFW, DCFW, ICS, EDR, WAF, MC и SIEM.
Переход на UserGate 7 — это несложный процесс. Но, если у вас множество политик безопасности, перенести их на новую ОС совсем без проблем не получится. Тут точно не обойтись без «ручной» работы ИБ-специалиста.
