Внедрить нельзя, тестировать: ещё 4 месяца с NGFW Usergate C150
В предыдущей статье мы познакомились с тестовой прошивкой из коробки у NFGW Usergate C150, допиливанием шаблона для мониторинга и закончили на утечке памяти, а точнее застыли в ожидании фикса этой утечки.
Продолжаем наблюдение за развитием импортозамещённого NGFW и смотрим, что изменилось за 4 месяца.
Утечка памяти — fixed
Начнем с улучшений. В прошивке 7.1.2, точнее в 7.1.2(build 7.1.2.33025R, 27/08/2024) пофиксили проблему с утечкой памяти, из-за которой за 10 дней без нагрузки объём занятой оперативной памяти Usergate C150 увеличивался с 30% до 60%. Однако пришлось снова устанавливать прошивку с нуля, вариант накатывания поверх противоречил рекомендациям поддержки.
Пока обновляли прошивку с нуля заметили загрузчик GRUB. На сайте вендора в англоязычной версии указывается:
Our developers have devoted a great deal of attention to creating our own proprietary platform rather than using open source code and third-party modules.
Что в русскоязычной версии выглядит как:
Разработчики уделили много внимания созданию собственной платформы, не основанной на использовании чужого исходного кода и сторонних модулей.
Также, в презентациях вендора одним из преимуществ UGOS и ПАК Usergate C150 в частности фигурирует отказ от использования open source решений в пользу разработки всего с нуля, своего рода NIH. И всё-таки что-то непроприетарное под капотом используется.
Смотрим на UGOS 7.1.2 поближе
Раз память больше не течет, то можно настраивать C150, чтобы наконец задействовать его на границе локальной сети и интернета. Все действия производились после установки прошивки с нуля.
Дефолтные настройки с зависимостями
После прошивки с нуля на устройстве есть различные предустановки: примеры правил файервола, NAT, captive портала, VPN, etc. Возможности сбросить настройки к заводским и не устанавливать конфигурацию по умолчанию нет, поэтому пробуем удалить их вручную.
По сравнению с 7.1.1, в 7.1.2 при удалении дефолтной сущности, которая является зависимостью другой, сообщение об ошибке показывает зависимые сущности. Но если неумышленно удалить чью-то зависимость и не дождаться прогрузки интерфейса (иногда занимает 15–20 секунд), то зависимость пропадет из списка, а сущность, использовавшую эту зависимость, нельзя будет удалить. Решить получилось только сбросом к заводским настройкам.
Кроме того, был эпизод, когда вкладка с веб интерфейсом была 10 минут без взаимодействия, после чего интерфейс перестал отвечать, а C150 перестал пинговаться. Помог ребут.
Бэкап в бинарном файле
Согласно документации, существует два вида бэкапа: экспорт/импорт настроек и резервное копирование:
Администратор имеет возможность сохранить текущие настройки NGFW в файл и впоследствии восстановить эти настройки на этом же или другом NGFW. В отличие от резервного копирования, экспорт/импорт настроек не сохраняет текущее состояние всех компонентов комплекса, сохраняются только текущие настройки.
В обоих случаях на выходе получится бинарный файл, для резервной копии это 10+ Гб. Возможности резервной копии настроек в текстовый файл не нашли, соответственно как отслеживать и версионировать изменения конфигурации, помимо встроенного журнала, непонятно.
NTP клиент работает*
Настроим в качестве NTP серверов ntp1.vniiftri.ru
и ntp2.vniiftri.ru
, которые работают от сигналов рабочих шкал Государственного первичного эталона времени.
Через GUI по неизвестной причине
ntp1.vniiftri.ru
установить не удалось. При этом сервераpool.ntp.org
устанавливались без проблем.Через CLI ntp1.vniiftri.ru установился, но команда
set settings general server-time ntp-servers [ server1 server2 ]
из веб-версии документации неактуальная. По подсказкам консоли собралась правильная командаset settings general server-time primary-ntp-server ntp1.vniiftri.ru second-ntp-server ntp2.vniiftri.ru
Позже, в процессе общения с поддержкой узнали, что самой актуальной версией документации является PDF файл, доступный на сайте https://docs.usergate.com в разделе Загрузки. На момент написания статьи это файл https://docs.usergate.com/pdf_manuals/ngfw/ngfw-7.1.x-manual.pdf, и да, там синтаксис команды верный.
DHCP сервер работает
Для организации тестовой DMZ зоны настроили DHCP сервер. Из замеченных недостатков можно отметить:
Время аренды не нельзя установить менее 300 секунд. Ок для стенда, не ок для внедрения, когда время аренды нужно установить минимальным на период переключений для уменьшения простоя.
Имя домена является обязательным. Нельзя создать DHCP сервер, не указав имя домена.
Между тем, NGFW Huawei, на замену которому готовился NGFW Usergate C150, позволяет установить время аренды 1 минута и не заполнять имя домена.
L2 мост работает
Согласно документации «через мост можно настроить фильтрацию передаваемого контента на уровне L2 без внесения изменений в сетевую инфраструктуру компании».
Окей, на стенде пробуем такой вариант. Схема подключения простейшая: тестовый ПК ↔ Usergate C150 ↔ маршрутизатор с DHCP сервером. Включили, на ПК IP-адрес вида 169.254…, то есть адрес ПК не получил.
Поддержка рассказала, что необходимо добавить в файервол разрешающее правило с необходимыми зонами и сервисами. Добавили, заработало. В целом, возможно это очевидно, документация описывает этот режим так:
При выборе режима Layer 2 создаваемому мосту не нужно назначать IP-адрес и прописывать маршруты и шлюзы для его корректной работы. В данном режиме мост работает на уровне MAC-адресов, транслируя пакет из одного сегмента в другой. В этом случае невозможно использовать правила АСУ ТП и Mail security. Контентная фильтрация работает в этом режиме.
Контентная фильтрация в последнем предложении отдаленно намекает на настройки файервола, хотя без явного указания. Есть курс «UGOS7.1 Администрирование межсетевых экранов UserGate 7.1» 40 ак. ч. за 95 000 ₽ в авторизованном обучающем центре, который возможно раскрывает все особенности, не тестировали.
L3 мост не работает
Посмотрим на L3 мост. Настроили по документации: создали интерфейс мост, назначили на него IP-адрес, добавили в него 2 порта. Схема стенда аналогична предыдущей. Разрешающее правило в файерволе тоже осталось.
Включаем ПК, снова IP-адрес 169.254. Отправили в поддержку экспорт настроек, получили ответ: «L3 мост не пропускает широковещательный трафик, с L2 таких проблем нет, задача передана разработчикам». А если проблема для нас критичная, то можно эскалировать процесс через менеджера UserGate. Под процессом, вероятно, имеется в виду процесс устранения ошибки и вписывание исправления в очередной спринт разработки.
НеВыводы
Прошло ещё 4 месяца внедрения NGFW Usergate C150. Обнаружились некоторые странности и особенности в работе базового функционала. За это время мы дождались фикса утечки памяти, теперь ждем фикса работы L3 моста.
По комментариям к предыдущей статье видно, что проблемы с Usergate есть и в старших моделях D200, также наблюдаются сложности в коммуникации с поддержкой вендора. В кулуарах конференций коллеги упоминают невозможность разграничения прав для выдачи отделу ИБ необходимых доступов. Комментарии к публикации К2Тех аналогично показывают различные проблемы при внедрении и работе решений Usergate.
Патч с устраненной утечкой памяти вышел примерно через 3 месяца, посмотрим, когда будет работать L3 мост.