Доступна новая версия универсального шлюза безопасности и системы обнаружения (предотвращения) вторжений Traffic Inspector Next Generation

Доступна новая версия универсального шлюза безопасности и системы обнаружения (предотвращения) вторжений Traffic Inspector Next Generation

Компания «Смарт-Софт» сообщает о выходе новой версии программно-аппаратного универсального шлюза безопасности (UTM) и системы обнаружения (предотвращения) вторжений Traffic Inspector Next Generation.

 

Доработки команды «СмартСофт» в новом релизе Traffic Inspector Next Generation:

  1. Плагин os-ids-rules — редактор правил для системы обнаружения вторжений:
  • Появилась возможность добавлять собственные правила.
  1. Плагин os-proxy-useracl — работа с пользовательскими и групповыми списками:
  • Добавлена возможность множественного выбора в поле групп/пользователей для правил;
  • Добавлена маршрутизация пользователей на разные WAN-интерфейсы, таким образом, появилась возможность автоматически направлять различных пользователей через разные каналы связи.
  1. Плагин os-proxy-sso — аутентификация пользователей на веб-прокси через протокол Kerberos:
  • Появилась поддержка нескольких доменов одновременно.
  1. Плагин os-ndpi — Layer 7-фильтрация, основанная на nDPI:
  • Библиотека распознавания протоколов обновлена до последней, актуальной версии.
  1. Плагин os-squid-log-pg – сбор данных по запросам пользователей из лог-файла веб-прокси в базу данных для формирования отчетности о доступе в интернет:
  • PostgreSQL backend для хранения логов прокси.
  1. Плагин os-security-scanner – сканер безопасности:
  • Добавлена возможность выбора плагинов сканирования.
  1. Captive-portal — веб-портал, на который попадает пользователь после подключения к сети компании:
  • Добавлена возможность создавать черный список MAC-адресов для блокировки доступа к сети пользователей, включенных в этот список.
  1. Веб-прокси:
  • Добавлена опция ICAP bypass, позволяющая обрабатывать трафик без ICAP-сервиса в случае, если прокси обнаружил, что ICAP-сервис не отвечает.
  1. Активированы плагины централизованной системы управления несколькими устройствами Traffic Inspector Next Generation.
  2. Подготовлена документация по настройке SMTP-шлюза.

Также был осуществлен перевод на русский язык инсталлятора, консольного меню и исправлены обнаруженные ошибки.

 

Traffic Inspector Next Generation версии 1.4.0 базируется на OPNsense версии 18.7.7. Весь перечень изменений в OPNsense 18.7.7 относительно предшествующих версий представлен на сайте проекта. Разработчик обращает внимание на следующие моменты в связи с миграцией:

  • SSH-доступ теперь привязан к группе «wheel», автоматически добавляемой к группе «admins», членом которой является «root». «Root» — единственный пользователь, которому назначен shell по умолчанию (opnsense-shell, вызывающий консольное меню root).
  • Назначение SSH-доступа выбранной группе пользователей, не входящей в группу «admins», доступно через меню «Система». Однако, работать будет только SCP, что связано с запросами клиентов о более внимательном отношении к правам доступа к shell. В случае необходимости предоставить пользователю интерактивный доступ по SSH рекомендуется сменить shell «nologin» на предустановленный shell в соответствии с его настройками.
  • Были усилены алгоритмы шифрования Web GUI HTTPS. Для доступа рекомендуется использовать обновленные версии браузеров.
  • Резервные способы аутентификации в GUI/систему удалены в связи с возможностью выбора нескольких серверов аутентификации одновременно. В связи с этим необходимо назначить текущий резервный способ аутентификации в качестве основного или использовать несколько способов.
  • Хотя WAN-интерфейсам требуется шлюз для нормального функционирования, для исключения воздействия на обслуживание ответов WAN назначение шлюза в single-WAN сценарии является необязательным. В связи с этим выбор «none» был изменен на «auto-detect». Теперь это рекомендованная настройка, если не используется multi-WAN.
  • Для подготовки к API для работы с псевдонимами межсетевого экрана описания элементов были удалены, поскольку они поддерживали устаревшие типы urltable_ports и url_ports.
  • В OpenVPN вычисление /31 сети туннеля изменено для использования первого и последнего адреса в качестве адреса сети. Широковещательного адреса не существует. Если это затрагивает ваши настойки, необходимо отрегулировать ваших клиентов или экспортировать их конфигурацию заново. Она будет содержать нужные изменения.  Дополнительно, /32 сети туннеля теперь запрещены.

Вернуться

Возврат к списку