Импортозамещение NGFW: практика внедрения и использования UserGate

[Rastler]

Хуже NGFW Usergate достаточно сложно найти.

[Mnemonic0]

ушли Cisco, Fortinet, Palo Alto

И при чём тут Usergate? Максимум - Netgate, а никак не ААА брэнды.

[diksrv]

Ииии дальше что? Фортики окирпиченные стоят, воздух вентилируют. Чекпоинт один остался с горем пополам. Нормальные поделки, гоняем еще Ideco UTM - вполне себе.

[Houl]

С FGT, по сути, проблема только с веб фильтрацией. Остальное все руками можно обновить.

[EnergyAngel]

Ну не все так печально с фортиками. Ставите FortiManager и все гейты вешаете на него. Сам менеджер обновляется через какой-нить сервер в Грузии. Работает.

[0HenrY0]

Хороший продукт, рекомендую его всем своим конкурентам.

[Ded_Keygen]

Попытка внедрения сего продукта завершилась когда оказалось, что агент для терминального сервера в случайном режиме блокирует сетевую работу интернет браузеров, почтового клиента, клиента групповых политик и основной CRM программы. Может еще чего-то, что не заметили.

[silinio]

Это рекламный пост?

[zatorax]

К сожалению usergate не работает.

Можно зайти в телегу и почитать их чатик.

Что такое "кластер" в уг вообще не знают.

[boyapavel]

А вот тут пишут, что кластер есть https://dzen.ru/media/1integrator/10-vescei-kotorye-vy-hotite-znat-pered-vnedreniem-usergate-658a85dd2a04ce1125412ce0

[0HenrY0]

Вы скажете спасибо интегратору, который уговорил вас установить кластер МСЭ, когда будете обновлять ПО – так прерывания сервиса можно избежать.

Обновление ПО на горячую практически всегда вызывает split-brain. Под кластером производитель подразумевает что-то своё, особый путь.

Также нельзя исключать баги в обычной работе ПО – пару раз нам приходилось переключать мастер ноду и отправлять её в перезагрузку из-за нестабильности работы ПО (при редактировании настроек зон переставал работать модуль МСЭ, помогала только перезагрузка).

Нельзя исключать? Это штатная работа оборудования. Если после изменения конфигурации не потребовалась перезагрузка - повезло.

Безусловно, этот продукт не без проблем, как и многие (все?) продукты на рынке, в том числе и иностранные. Поэтому важно и то, как отрабатывает техническая поддержка – как быстро решаются проблемы.

Время решения заявки 120 рабочих дней, в которые не входят ожидание для предоставления удаленного доступа и время разработчиков на выпуск патча.
https://support.usergate.com/ru/technical-support-regulations/service-level-agreement

За 120 дней выходит новая версия ПО и всё начинается по новому, по спирали.

[1xeleon]

Обновление ПО на горячую практически всегда вызывает split-brain. Под кластером производитель подразумевает что-то своё, особый путь.

Split-brain получится только если сильно захотеть. Алгоритм ведь простой - выводим из кластера одну ноду, обновляем, запускаем кластер на ней и выключаем на второй, обновляем вторую, включаем кластер на второй. Профит?

Соглашусь, у тех же Чеков обновление кластера куда более автоматизировано и отказоустойчиво, но сама суть одна - без кластера в процессе обновления будет грустнее, чем с ним.

[oller]

А какие NGFW реально можно рассмотреть в РФ? Ну чтобы с bgp, всякими vpn, ids и т.д...

[DenSyo]

Отметил для себя парочку на посмотреть, благо, есть пробный период, но какого-то полностью бесплатного режима нет и по этой причине ни одна пока не прижилась, чтоб познакомиться ближе. Traffic Inspector Next Generation - форк OPNsense, все её возможности. Ideco NGFW - вроде, что-то своё, документация заинтриговала, по крайней мере, возможность создания отказоустойчивого кластера есть.

[modsamara]

Тарифные планы ideco отпугнули от его рассмотрения насовсем

[DenSyo]

Тарифные планы Traffic Inspector Next Generation пугают не меньше. К сожалению, нет отечественной сборки файрволла/маршрутизатора, даже L6, с полностью бесплатным режимом и нет даже с адекватной стоимостью пожизненной лицензии. Для себя отметил перечисленное, если понадобится собирать дорогой проект с высокими требованиями. А по факту продолжаю использовать бесплатный OPNsense и MikroTik на x86 с его адекватными по стоимости лицензиями.

[DTimur]

А можно уточнить детали?
Вроде бы у Ideco более чем адекватная ценовая политика, и в первом приближении и ПАК, и программный вариант Ideco выходят дешевле UG. Особенно учитывая, что у UG не останется вариантов без ФСТЭК (не всем они нужны).

[modsamara]

да я с УГ :) и не сравнивал

у нас небольшой офис, ну пусть 40 компов

и еще 20 удаленщиков и еще эти 40 почти все могут и из дома пару дней в неделе поработать

так нам в итоге нужно 40+20+40 лицензий

в итоге купили fortigate, да, пока что функции какие-то не действуют, но для нас они были не критичны, до этого вообще freebsd стоял

[ivonin]

На сегодня более-менее отвечают вашим запросам UG, Ideco, Континент, а также не вышедший ещё, но уже в стадии тестирования, продукт от Positive.

[Sasha-Sh]

C таким функционалом есть очень много отечественных NGFW, но основные конкуренты у UG это КодБез и Ideco.

[ar4w]

К сожалению и я займу темную сторону в этом вопросе.

Несмотря на то, что UG, на текущий момент, пожалуй один из лучших NGFW отечественной разработки, он изобилует массой недостатков.

1) Отсутствует технически подробная документация, критически важная для промышленной эксплуатации NGFW. Если работа с политиками FW интуитивно понятна и в большинстве случаев не требует особых разъяснений, то например документация на NAT должна быть технически исчерпывающей. В текущей документации https://docs.usergate.com/nat-i-marshrutizaciya_713.html не указано на каких этапах обработки пакетов меняются source и на каких destination адреса, как NAT взаимодействует с политиками FW. Packet Flow описан только для 6 версии https://docs.usergate.com/usergate-ngfw-6-packet-flow_576.html и очевидно для 7 уже не актуален, так как на практике оказывается, что при некоторых настройках NAT из процесса исключается обработка правилами FW - такие особенности должны быть жирным шрифтом выделены в документации.

2) Отсутствует публичная информация о фактической производительности ПАК. Для тех кто привык работать с асами и пр., среди которых даже не топовые железки легко работают с десятками тысяч правил, будет неприятным сюрпризом, что даже для топовых ПАК UG, 1-2 тысячи правил будет практическим потолком. Это крайне важно знать при планировании миграции.

3) На портале поддержки для зарегистрированных пользователей хотелось бы иметь доступ хотя бы к критическим багам и путям их обхода. Очевидно, что команда работает над продуктом и активно его развивает, но это так же очевидно ведет и к массе багов. Хотелось бы заранее о них узнавать, чтобы не бегать по лужайке с граблями с завязанными глазами.

В отношении миграции, автор в статье явно не упоминает конвертер, днако он есть https://github.com/ran1024/UserGate-utilities . Соглашусь, что конвертер далек от совершенства, но открытый код позволяет отладить и дописать его для миграции именно ваших политик.

Очень хочется и верю, что ребята из UG рано или поздно доработают/переделают свой NGFW, но пока могу поставить только троечку. ((

[Bonov]

Тоже был мучительный выбор замены пограничного шлюза, которым ранее работал казалось бы простенький GFI Kerio Control. Выбор был сделан в пользу UserGate как самого продвинутого (как казалось) решения. Но в итоге мы обрели просто массу головной боли там, где не ждали. И проблемы не только с внедрением, где мы предвидели сложности, но и с эксплуатацией.

Если в Керио было все прозразно, логично и удобно, то как работает Usergate, наверное, не знают даже его разработчики... Одно лишь системное дефолтное правило межсетевого экрана, которое должно блокировать всё, работает не так, как ожидается: блокирует не всё, в логах всех блокировки могут отсутствовать, просто черная дыра какая-то.

Приоретизация трафика отсутствует. Дико бесит отсутствие возможности подписи пользовательских элементов: нельзя подписать добавляемый IP/URL адрес, чтобы хотя бы помнить, что это... только в группу его добавить. Казалось бы мощная железка постоянно уходит в пик производительности. В правила бот-сетей команда Юзергейта добавляет все подряд, что делает невозможным использование казалось бы полезного механизма. Иногда отваливаются сетевые интерфейсы. Анализ блокировок теперь превратился в мучения. Расшифровка SSL постоянно сталкивается с проблемами в работе на многих сайтах. Обновления накатывать страшно: это перерыв в работе до 20 минут и риски зависания. За полтора года использования никаких значимых улучшений в продукте сделано не было.

Мне кажется, перечислять я могу долго, но факт в том, что второй раз я бы Usergate не выбрал никогда...

[PAVEL_Mityakin]

Из опыта эксплуатации на объектах КИИ пришли к выводу: все что угодно только не usergate

[mt9]

Имея опыт эксплуатации продукта UserGate с 2019-го года (начиная с 5-ой версии UTM) никак не могу согласиться с наименованием NGFW (Next-Generation Firewall).

Не могу понять, в частности, категорического неприятия со стороны UserGate протокола IPv6. Это как-то не по Next-Generation'ски.

В качестве простого Интернет-шлюза с фильтрацией трафика продукт работает и не создает особых проблем. Но часть заявленного функционала просто не работает.

Если возможно, поделитесь опытом - среди большого количества проведенных инсталляций был ли у вас удачный опыт настройки публикаций через reverse proxy на UserGate UTM или NGFW?

[giveittome]

Да, делал реверс прокси. Переадресацию не ssl он не умеет делать. Нужно на веб сервере этим заниматься

[Bonov]

Да, реверс-прокси работает, но TLS 1.3 не поддерживает. Завелось только с TLS 1.2. С шифрами чет у UG плохо всё.

[mt9]

Я пробовал публиковать несколько разных ssl-сервисов, в том числе и remote desktop gateway. В конечном итоге, пришел к выводу, что взгляды usergate на reverse proxy сильно отличаются от моих и закрыл этот вопрос другим продуктом.

[Houl]

По задумке UG отличная вещь, но баги, баги, баги, баги.... баги.... И это при урезанном функционале.