Изменения версий
Изменения в версии 1.12.4 затронули технологию GeoIP, также произведено обновление до версии OPNsense 23.7.9.
Перечень изменений в Traffic Inspector Next Generation 1.12.4:
- Добавлено автоматическое определение протокола для загрузки GeoIP на основе задаваемого URL (Uniform Resource Locator, унифицированный указатель ресурса). Параметр указания протокола исключен из настроек.
- Для пользователей Traffic Inspector Next Generation с актуальным ключом активации добавлена поддержка загрузки базы данных ИС "GeoIP" российской разработки, расположенной по адресу https://geoip.smart-soft.ru/GeoIP-Latest.zip.
- Доработан перевод интерфейса на русский язык.
- Исправлены обнаруженные ошибки.
- Произведен переход на OPNsense версии 23.7.9, в которой наиболее существенными доработками являются изменения для IPsec VTI-соединений с поддержкой IPv6 и двухстековой работы, а также исправление ошибки несоответствия OpenVPN CSO и опциональная поддержка хеширования паролей с использованием SHA-512. Полный перечень изменений доступен на сайте проекта.
Рекомендуем администраторам Traffic Inspector Next Generation, исключая ФСТЭК-версию, обновить продукт до версии 1.12.4.
Изменения в версии 1.12.0 затронули веб-интерфейс ряда страниц, прокси-сервер, IPsec, GeoIP, DNS-сервер, криптографическую библиотеку. Операционная система обновлена до версии FreeBSD 13.2-RELEASE-р3.
Перечень изменений в Traffic Inspector Next Generation 1.12.0:
1. Веб-интерфейс:
- Обновлена страница мониторинга.
- Обновлена страница настроек LAGG-интерфейсов.
- Обновлена страница настроек OpenVPN.
- Обновлена страница настроек IPSec.
- Обновлен интерфейс виртуальных IP-адресов (кластер высокой доступности ative-passive).
- В журнале web-прокси добавлен просмотр блока правил, на основании которого был разрешен или запрещен доступ.
2. GeoIP: добавлен новый протокол для источника.
3. Прокси-сервер Squid:
- В журнал доступа добавлена информация для отладки правил.
- Повышена стабильность при многопоточной работе.
4. IPSec: в настройках подключений добавлены параметры local_port и remote_port.
5. Unbound: обновлен пользовательский интерфейс.
6. OpenSSL обновлена до версии 1.1.1w.
7. Улучшено обновление удаленных списков для псевдонимов.
8. Текущая версия соответствует OPNsense 23.7.5.
Рекомендуем администраторам Traffic Inspector Next Generation, исключая версию FSTEC, обновить продукт до версии 1.12.0.
Изменения в версии 1.11.0 затронули работу с корневыми сертификатами SSL в едином центре управления безопасностью и прокси-сервере. Также мы возобновили возможность использования встроенного шлюзового антивируса ClamAV, создав зеркало для базы сигнатур, и обновили дополнительный модуль контентной фильтрации NetPolice.
Полный перечень изменений в Traffic Inspector Next Generation 1.11.0:
1. Единый центр управления безопасностью географически распределенной ИТ-инфраструктуры (Center Management System, CMS), добавлены:
- возможность использования внешнего центра сертификации (certification authority, CA) для установления доверительных отношений главным узлом и подчинёнными;
- синхронизация отдельных правил и конфигураций для пользовательских и групповых списков управления доступом (Access Control List, ACL) в прокси-сервере.
2. Начальная установка:
Добавлен Национальный удостоверяющий центр Минцифры России. Теперь Traffic Inspector Next Generation совместим с российскими TLS-сертификатами, его пользователям гарантирован беспрепятственный доступ к российским сайтам в любом браузере и из любых операционных систем.
3. Прокси-сервер:
Улучшена работа с доверенными корневыми сертификатами. Предыдущая версия прокси не открывала сайты, подписанные промежуточными центрами сертификации, если разработчики сайта не добавили в сертификат сайта всю цепочку сертификатов. Новая версия прокси открывает такие сайты.
4. Прозрачное проксирование http- и https-траффика:
Добавлена поддержка протокола WCCP2, предназначенного для перенаправления трафика в реальном времени.
5. Потоковый антивирус:
В марте 2022 разработчик ClamAV закрыл для российских пользователей доступ к серверу обновлений. С тех пор мы не рекомендовали использовать ClamAV из-за устаревших баз. Чтобы предоставить пользователям Traffic Inspector Next Generation возможность использовать бесплатный потоковый антивирус, в версии 1.11.0 мы развернули регулярно обновляемое зеркало базы антивирусных сигнатур ClamAV.
6. Модуль контентной фильтрации NetPolice, добавлены:
- вывод сообщения об ошибке категории NetPolice, по которой заблокирована страница;
- определение категорий NetPolice для вложенных доменов;
- кеширование категорий NetPolice.
7. Заимствованный код:
Осуществлен переход Traffic Inspector Next Generation на OPNsense версии 22.7.6. В новой версии доработан код CRL (списки SSL-сертификатов, отозванных центром выдачи) – теперь он изолируется в песочнице, чтобы избежать проблем во время загрузки. Полный список изменений в OPNsense версии 22.7.6 доступен на сайте проекта. Мы провели глубокую проверку кода новой версии OPNsense и гарантируем отсутствие диверсионных закладок в нем.
Рекомендуем администраторам Traffic Inspector Next Generation, исключая версию FSTEC, обновить продукт до версии 1.11.0.
В релизе Traffic Inspector Next Generation 1.10.0:
- Обновлен установщик программного обеспечения. Теперь администраторы Traffic Inspector Next Generation могут создавать разные типы RAID-массивов сразу при инсталляции, что обеспечивает более гибкую настройку дисковых массивов непосредственно из установщика.
- Начиная с релиза 1.10.0 прокси-сервер Traffic Inspector Next Generation поддерживает мультипроцессорные и многоядерные системы, а администраторы решения могут указывать количество обработчиков. Доработка обеспечила горизонтальную масштабируемость и позволила оптимизировать использование прокси-сервером всех доступных аппаратных ресурсов.
- Доработан плагин SquidLog, с помощью которого реализуются расширенные отчеты по веб-прокси. Теперь для SSO и LDAP аутентификации можно настроить вывод имен и структурных подразделений пользователей вместо их логинов, если соответствующие данные внесены в систему (например, прописаны в Active Directory). Доработка повысила легкость восприятия и читабельность отчетов Traffic Inspector Next Generation.
- Плагин NetPolice (дополнительный модуль контентной фильтрации) переведен на новый протокол, что обеспечило работу NetPolice при блокировке провайдером порта 53 по UDP. Таким образом, решена задача по обеспечению работоспособности модуля в корпоративных сетях, в которых заблокированы внешние DNS-серверы.
- Осуществлен переход Traffic Inspector Next Generation на OPNsense версии 22.1.1, в рамках которого ОС FreeBSD обновлена до версии 13.0. Администраторы Traffic Inspector Next Generation могут использовать все преимущества обновленной платформы. Вместе с тем Смарт-Софт сообщает, что перестал обновлять весь заимствованный код в Traffic Inspector Next Generation с 17 февраля. Это исключает любые диверсии и возможность выведения системы из строя. В настоящий момент вводится дополнительный кордон, который будет использоваться при проверке и тестировании любого заимствованного кода.
UPD 22.04.2022:
В дополнение к нововведениям релиза 1.10.0, вышедшего 11 апреля 2022 года, оптимизирована работа Traffic Inspector Next Generation в части интеграции с Active Directory (AD).
Интеграция Traffic Inspector Next Generation с доменом AD избавляет от хлопот администраторов сети, упрощая настройку структуры групп доступа на интернет-шлюзе, и открывает возможности SSO-аутентификации для пользователей.
Ранее время хранения членства пользователей в группах было жестко лимитировано и составляло 5 минут, что создавало дополнительную нагрузку на сеть из-за частых запросов Traffic Inspector Next Generation к Windows Server.
Благодаря реализованной доработке Traffic Inspector Next Generation, теперь время хранения членства пользователей в группах берется из настроек TTL аутентификации и по умолчанию составляет 2 часа. При этом администратор Traffic Inspector Next Generation на свое усмотрение может установить временной промежуток, кратный одному часу.
Таким образом, Traffic Inspector Next Generation может дольше хранить результаты запроса и, следовательно, реже обращаться к AD, что оптимизирует нагрузку на сеть.
Вместе с тем реализованные изменения повлияли на скорость отображения добавленного пользователя в новую группу - Traffic Inspector Next Generation «увидит» это изменение с некоторой задержкой. Чтобы оперативно обновить данные, администратору Traffic Inspector Next Generation достаточно перезагрузить веб-прокси.
Рекомендуем администраторам Traffic Inspector Next Generation, исключая версию FSTEC, обновить используемое решение до версии Traffic Inspector Next Generation 1.10.0.
В релизе Traffic Inspector Next Generation 1.9.0:
1. Начиная с версии 1.9.0 Traffic Inspector Next Generation, приобретаемый в виде образа виртуальной машины, будет доступен в двух вариациях – Light и Basic. В облегченной версии программного продукта Traffic Inspector Next Generation Light исключен функционал обнаружения и предотвращения вторжений (IDS/IPS) и контроля приложений (nDPI, распознавание протоколов прикладного (седьмого) уровня за счет сигнатурного анализа). Traffic Inspector Next Generation Light в большей степени ориентирован на реализацию функций контроля доступа пользователей в интернет.
2. Выполнены следующие доработки плагинов:
2.1. Плагин UserACL, обеспечивающий функции фильтрации с использованием различных списков доступа, выборочной фильтрации контента посредством протокола ICAP, распределения запросов по исходящим каналам:
- Добавлена возможность ввода списка пользователей и групп.
- Теперь при попытке удалить используемые списки система будет предупреждать администратора об ошибке.
- Внесены изменения в работу системы в режиме прозрачного проксирования – добавлена возможность создавать список разрешенных сайтов для режима «запрещено всё» (разрешены сайты из этого списка, всё остальное запрещено).
2.2. Плагин nDPI – интеллектуальное распознавание протоколов прикладного (седьмого) уровня за счет сигнатурного анализа:
- Добавлен функционал автоматического обновления статистики каждые 5 минут. Статистика собирается по созданным правилам, количеству совпадений и блокировок при условии, что блокировка включена; по блокирующим правилам межсетевого экрана, по количеству и типу пакетов; по семействам протоколов; по распознанным протоколам.
2.3. Плагин SSO (Single Sign-On аутентификация с технологией единого входа):
- Добавлена возможность отключать аутентификацию Basic (данная схема аутентификации используется для аутентификации пользователей, чьи компьютеры не являются членами домена). При отключении аутентификации Basic пользователи, чьи компьютеры не входят в домен, не будут обслуживаться прокси-сервером.
- Ужесточена процедура проверок настроек DNS перед подключением к домену: теперь проверки выполняются принудительно только для одного сервера – первого из списка, а не для всех серверов в списке. Если первый сервер не может обработать запрос, администратор Traffic Inspector Next Generation получит предупреждение об этом. Также проводится проверка не только обработки запросов адресов контролера домена и Traffic Inspector Next Generation, но и внешних доменов, в частности «ya.ru».
2.4. Плагин SquidLog – расширенные отчеты по веб-прокси:
- Улучшен функционал сжатия базы логов – удаленные из статистики старые записи теперь удаляются и из базы, обеспечивая ее сжатие.
3. Добавлен плагин для импорта пользователей и групп из многофункционального межсетевого экрана Traffic Inspector. Теперь администраторы Traffic Inspector могут автоматически импортировать пользователей и группы в Traffic Inspector Next Generation и воспользоваться привлекательными условиями миграции от Смарт-Софт.
4. Осуществлен перевод на актуальную версию OPNsense 21.7.3. Администраторы Traffic Inspector Next Generation могут использовать все преимущества обновленной платформы.
Рекомендуем администраторам Traffic Inspector Next Generation, исключая версию FSTEC, обновить используемое решение до версии Traffic Inspector Next Generation 1.9.0.
В релизе Traffic Inspector Next Generation 1.8.0:
1. Добавлена возможность принудительного ограничения пропускной способности прокси-сервера.
Теперь администраторы Traffic Inspector Next Generation могут ограничивать скорость интернет-соединения для отдельных пользователей, что поможет улучшить общую производительность сети.
2. Добавлена возможность переключения YouTube в безопасный семейный режим. Включение безопасного режима YouTube позволяет применить возрастные ограничения к контенту и блокирует размещение комментариев под видео. Функция особенно востребована для организаций и учреждений сферы образования.
3. Оптимизирован механизм прозрачной аутентификации по технологии единого входа для пользователей домена (Single sign-on/SSO).
При срабатывании запрещающего правила для пользователя или группы пользователей происходит переключение на резервную базовую аутентификацию для недоменных пользователей и компьютеров, а пользователь (группа) получает уведомление о необходимости аутентификации.
Теперь администраторы Traffic Inspector Next Generation могут отключить базовую аутентификацию, чтобы избежать переключения на нее пользователя и соответствующей демонстрации пользователю окна аутентификации. В таком режиме запрещенный пользователю (группе пользователей) сайт просто не будет загружаться, и пользователь (группа) увидит сообщение, что прокси не принимает соединение.
Особенность режима отключения резервной базовой аутентификации - использовать Traffic Inspector Next Generation могут только доменные пользователи.
4. Добавлены новые отчеты по прокси-серверу в части учета статистики.
Теперь администраторы Traffic Inspector Next Generation могут получать детализированную статистику по каждому пользователю и доменам, которые он посещал, а также количеству посещений каждого домена пользователем.
5. Осуществлен перевод на актуальную версию OPNsense 21.1.3. Администраторы Traffic Inspector Next Generation могут использовать все преимущества обновленной платформы.
Среди улучшений новой версии – добавлено управление правилами IDS/IPS на основе политик, что значительно упрощает работу администратора при количестве правил от тысячи и более.
6. Оптимизирован механизм активации пользовательских и групповых правил в списках листов доступа (access control list, ACL) прокси-сервера – напротив каждого правила добавлена кнопка его включения и выключения.
Рекомендуем администраторам Traffic Inspector Next Generation, исключая версию FSTEC, обновить используемое решение до версии Traffic Inspector Next Generation 1.8.0.
В релизе Traffic Inspector Next Generation 1.7.0 реализованы следующие изменения:
1. Веб-прокси:
- обеспечена интеграция с FreeIPA (Free Identity, Policy and Audit) — системой централизованного управления идентификацией пользователей, задания политик доступа и аудита для сетей на базе Linux и Unix;
- обеспечена возможность формирования списка исключений для доступа к сайтам, имеющим собственные (самоподписанные) SSL-сертификаты. Список сайтов (доменов) устанавливается администратором вручную при настройке универсального шлюза безопасности.
2. Сертификаты: теперь при установке Traffic Inspector Next Generation корневой сертификат генерируется автоматически.
3. VPN (Virtual Private Network):
- обновлен плагин os-gostvpn для ГОСТ VPN;
- добавлена поддержка кириллических доменов для IPSec.
4. Межсетевой экран нового поколения (Next-Generation Firewall, NGFW): добавлена проверка на допустимые имена для псевдонимов межсетевого экрана.
5. L7-фильтрация (NDPI, система глубокой инспекции пакетов):
- добавлена сортировка по приоритету правил;
- осуществлен переход со статической библиотеки на библиотеку из портов, что обеспечивает ее более оперативное обновление.
6. Плагин контекстной фильтрации NetPolice: обновлен список категорий от ЦАИР (Центр анализа интернет-ресурсов, разработчик контентного фильтра NetPolice).
7. Осуществлен переход на версию OPNsense 20.7.2, пользователи Traffic Inspector Next Generation могут использовать все возможности обновленной платформы.
8. Оптимизирована работа следующих элементов Traffic Inspector Next Generation:
- автоматическое обновление BIOS при установке Traffic Inspector Next Generation на гибридный процессор APU2;
- загрузка списка URL Роскомнадзора;
- запуск, остановка и перезапуск NetFlow;
- генерация сертификата для web-сервера;
- просмотр логов прокси;
- копирование правил межсетевого экрана в Central Management System (CMS, система централизованного управления распределенной инфраструктурой сетевых шлюзов Traffic Inspector Next Generation);
- обработка неизвестной категории в плагине NetPolice (модуль контентной фильтрации по категориям URL);
- номера приоритета в плагине UserACL (расширенный функционал фильтрации на веб-прокси);
- SMS-Portal;
- веб-интерфейс;
- отключены по умолчанию функции антифишинга и KSN в плагине антивирусной проверки трафика Kaspersky.
9. Обновлена онлайн-документация:
- обновлена документация для плагина UserACL (фильтрация веб-прокси);
- добавлена документация для плагина dnscrypt-proxy (гибкий DNS прокси-сервер с поддержкой шифрованных DNS протоколов DNSCrypt v2, DNS-over-HTTPS и Anonymized DNSCrypt);
- добавлено описание FreeIPA (интегрированная система проверки подлинности);
- обновлена документация по настройке SSO аутентификации.
Рекомендуем обновиться до версии Traffic Inspector Next Generation 1.7.0.
Доступна новая версия универсального шлюза безопасности (UTM) и системы обнаружения (предотвращения) вторжений Traffic Inspector Next Generation.
В релизе Traffic Inspector Next Generation 1.5.1:
- Осуществлен перевод на актуальную версию OPNsense 19.7.10, что позволяет пользователям использовать все преимущества обновленной платформы.
- Обеспечена возможность антивирусной проверки почтового трафика с использованием антивирусного модуля от Лаборатории Касперского.
- Обеспечена возможность одновременной антивирусной проверки веб-трафика и почтового трафика.
- Для новой версии Traffic Inspector Next Generation по умолчанию включен протокол шифрования DNS-трафика (dnscrypt-proxy), который позволяет защитить DNS-запросы от подмены и перехватов.
- Улучшена пропускная способность аппаратной платформы младшей модели S100, в среднем – до 1 Гб/с.
Также были исправлены обнаруженные ошибки.
Рекомендуем обновиться до версии Traffic Inspector Next Generation 1.5.1.
Доступна новая версия универсального шлюза безопасности (UTM) и системы обнаружения (предотвращения) вторжений Traffic Inspector Next Generation.
В релизе Traffic Inspector Next Generation 1.5.0:
1. Осуществлен перевод на актуальную версию OPNsense 19.7.3, что позволяет пользователям использовать все преимущества обновленной платформы.
Что нового:
- Логирование правил NAT. При включенной функции в логах межсетевого экрана сохраняется информация о срабатывании правил NAT.
- WPAD / PAC и поддержка родительского прокси на веб-прокси. Доработка предоставляет возможность автоматической настройки прокси-сервера в браузерах клиентов.
- Поддержка DNSSEC в DNS-сервере Dnsmasq обеспечивает защиту от подмены IP-адресов за счет криптографической проверки подлинности источника данных и проверки целостности данных.
- OpenVPN client export API предоставляет возможность автоматизации процесса выдачи клиентских сертификатов для OpenVPN.
- Добавлены новые плагины:
· API backup export – автоматизация работы с резервными копиями;
· Hardware widget – предоставление сведений об аппаратной платформе;
· Nginx – веб-сервер и почтовый прокси-сервер.
- Добавлено отображение автоматических правил межсетевого экрана в веб-интерфейсе, что позволяет получить полный перечень используемых правил.
- Добавлен сбор и отображение статистики для всех правил межсетевого экрана.
- Обеспечена поддержка синхронизации групп пользователей в LDAP.
- Обеспечена поддержка запросов на генерацию сертификатов (CSR, Certificate Signing Request) – больше нет необходимости полностью генерировать SSL-сертификаты на устройстве, достаточно подписать уже заранее сформированный запрос на сертификат.
2. Добавлена аутентификация пользователей на прокси по их IP/MAC-адресам.
3. Обеспечена возможность сохранения резервных копий конфигурационного файла config.xml в сервисе Яндекс.Диск.
4. При установке нового плагина в меню Traffic Inspector Next Generation автоматически появляется относящийся к новому плагину раздел. Доработка снимает необходимость ручного обновления интерфейса меню администратором при установке каждого нового плагина.
5. Добавлена возможность выбора темы оформления. В базовой поставке Traffic Inspector Next Generation предустановлены две темы. Для использования трех дополнительных тем оформления необходимо установить соответствующие плагины.
Также были исправлены обнаруженные ошибки.
При миграции на новую версию, пожалуйста, обратите внимание на следующие моменты:
- Графики работоспособности шлюза могут нуждаться в ручном сбросе из-за миграции Apinger в Dpinger. Apinger больше недоступен.
- Правила обнаружения вторжений GeoIP автоматически деактивируются и должны быть вручную перенесены в псевдоним брандмауэра GeoIP.
- Плагин quagga был заменен на FRR плагин. Бинарный пакет quagga сохранен на данный момент.
- Рекомендуем ознакомиться с документацией FRR в отношении необходимых системных перенастроек.
- Загрузка Bhyve UEFI может завершиться ошибкой в качестве гостя. Эта проблема изучается.
- Плагин SNMP был заменен плагином Net-SNMP.
- Привилегия входа через веб-прокси больше недоступна. Вместо этого доступ может быть ограничен селектором группы.
- OpenVPN больше не поддерживает прослушивание групп шлюзов. Вместо этого необходимо использовать localhost в сочетании с переадресацией портов.
Рекомендуем обновиться до версии Traffic Inspector Next Generation 1.5.0.
Доступна новая версия универсального шлюза безопасности (UTM) и системы обнаружения (предотвращения) вторжений Traffic Inspector Next Generation.
Доработки команды «Смарт-Софт» в новом релизе Traffic Inspector Next Generation:
1. Добавлен плагин os-gostvpn, построенный на интеграции со средством криптографической защиты информации (СКЗИ) «МагПро Криптопакет». Использование плагина позволяет организовывать шифрованные по ГОСТ VPN-каналы связи. Криптографическое шифрование данных осуществляется в соответствии с ГОСТ Р 34.10-2012, P 34.11-2012, 28147-89.
2. Плагин os-ndpi - Layer 7-фильтрация, основанная на nDPI:
- Добавлена функция выбора интерфейса для мониторинга;
- Библиотека распознавания протоколов обновлена до последней, актуальной версии.
3. Плагины os-cms-master (настройка мастер-узла), os-cms-node (настройка параметров подчиненного узла) системы централизованного управления распределенной инфраструктурой сетевых шлюзов Traffic Inspector Next Generation:
- Теперь для каждого плагина необходимо использовать отдельную лицензию;
- Добавлена возможность сохранять настройки фильтров в отчетах по веб-прокси.
Также были исправлены обнаруженные ошибки.
Traffic Inspector Next Generation версии 1.4.1 базируется на OPNsense версии 18.7.10. Весь перечень изменений в OPNsense 18.7.10 относительно предшествующих версий представлен на сайте проекта.
Рекомендуем обновиться до версии Traffic Inspector Next Generation 1.4.1.
Доступна новая версия универсального шлюза безопасности (UTM) и системы обнаружения (предотвращения) вторжений Traffic Inspector Next Generation.
Доработки команды «Смарт-Софт» в новом релизе Traffic Inspector Next Generation:
1. Плагин os-ids-rules - редактор правил для системы обнаружения вторжений:
- Появилась возможность добавлять собственные правила.
2. Плагин os-proxy-useracl - работа с пользовательскими и групповыми списками:
- Добавлена возможность множественного выбора в поле групп/пользователей для правил;
- Добавлена маршрутизация пользователей на разные WAN-интерфейсы, таким образом, появилась возможность автоматически направлять различных пользователей через разные каналы связи.
3. Плагин os-proxy-sso - аутентификация пользователей на веб-прокси через протокол Kerberos:
- Появилась поддержка нескольких доменов одновременно.
4. Плагин os-ndpi - Layer 7-фильтрация, основанная на nDPI:
- Библиотека распознавания протоколов обновлена до последней, актуальной версии.
5. Плагин os-squid-log-pg – сбор данных по запросам пользователей из лог-файла веб-прокси в базу данных для формирования отчетности о доступе в интернет:
- PostgreSQL backend для хранения логов прокси.
6. Плагин os-security-scanner – сканер безопасности:
- Добавлена возможность выбора плагинов сканирования.
7. Captive-portal - веб-портал, на который попадает пользователь после подключения к сети компании:
- Добавлена возможность создавать черный список MAC-адресов для блокировки доступа к сети пользователей, включенных в этот список.
8. Веб-прокси:
- Добавлена опция ICAP bypass, позволяющая обрабатывать трафик без ICAP-сервиса в случае, если прокси обнаружил, что ICAP-сервис не отвечает.
9. Активированы плагины централизованной системы управления несколькими устройствами Traffic Inspector Next Generation.
10. Подготовлена документация по настройке SMTP-шлюза.
Также был осуществлен перевод на русский язык инсталлятора, консольного меню и исправлены обнаруженные ошибки.
Traffic Inspector Next Generation версии 1.4.0 базируется на OPNsense версии 18.7.7. Весь перечень изменений в OPNsense 18.7.7 относительно предшествующих версий представлен на сайте проекта. Обращаем ваше внимание на следующие моменты в связи с миграцией:
- SSH-доступ теперь привязан к группе «wheel», автоматически добавляемой к группе «admins», членом которой является «root». «Root» - единственный пользователь, которому назначен shell по умолчанию (opnsense-shell, вызывающий консольное меню root).
- Назначение SSH-доступа выбранной группе пользователей, не входящей в группу «admins», доступно через меню «Система». Однако, работать будет только SCP, что связано с запросами клиентов о более внимательном отношении к правам доступа к shell. В случае необходимости предоставить пользователю интерактивный доступ по SSH рекомендуем сменить shell «nologin» на предустановленный shell в соответствии с его настройками.
- Были усилены алгоритмы шифрования Web GUI HTTPS. Для доступа рекомендуем использовать обновленные версии браузеров.
- Резервные способы аутентификации в GUI/систему удалены в связи с возможностью выбора нескольких серверов аутентификации одновременно. В связи с этим необходимо назначить текущий резервный способ аутентификации в качестве основного или использовать несколько способов.
- Хотя WAN-интерфейсам требуется шлюз для нормального функционирования, для исключения воздействия на обслуживание ответов WAN назначение шлюза в single-WAN сценарии является необязательным. В связи с этим выбор «none» был изменен на «auto-detect». Теперь это рекомендованная настройка, если не используется multi-WAN.
- Для подготовки к API для работы с псевдонимами межсетевого экрана описания элементов были удалены, поскольку они поддерживали устаревшие типы urltable_ports и url_ports.
- В OpenVPN вычисление /31 сети туннеля изменено для использования первого и последнего адреса в качестве адреса сети. Широковещательного адреса не существует. Если это затрагивает ваши настойки, пожалуйста, отрегулируйте ваших клиентов или экспортируйте их конфигурацию заново. Она будет содержать нужные изменения. Дополнительно, /32 сети туннеля теперь запрещены.
Рекомендуем обновиться до версии Traffic Inspector Next Generation 1.4.0.
Доступна новая версия универсального шлюза безопасности (UTM) и системы обнаружения (предотвращения) вторжений Traffic Inspector Next Generation.
Traffic Inspector Next Generation версии 1.3.3 базируется на OPNsense версии 18.1.13. Весь перечень изменений в OPNsense 18.1.13 относительно предыдущих версий представлен на сайте проекта.
Доработки команды «Смарт-Софт» в новом релизе Traffic Inspector Next Generation:
1. Плагин os-proxy-useracl, позволяющий работать с пользовательскими и групповыми списками:
- добавлены автообновляемые удалённые чёрные списки, в том числе списки Роскомнадзора (IP, URL), список блокировки рекламы;
- добавлены предопределённые списки MIME-типов.
2. Плагин os-c-icap-clamav, поддерживающий проверку HTTP-, HTTPS-трафика:
- добавлена блокировка категорий YouTube.
3. Плагин os-sms-portal, реализующий функционал SMS-идентификации:
- добавлена поддержка протокола SMPP для отправки сообщений.
4. Плагин антивируса Касперского os-kaspersky:
- добавлены опции сканирования Phishing и Kaspersky Security Network (KSN).
Также были исправлены обнаруженные ошибки.
Рекомендуем обновиться до версии Traffic Inspector Next Generation 1.3.3.
Доступна новая версия универсального шлюза безопасности (UTM) и системы обнаружения (предотвращения) вторжений Traffic Inspector Next Generation.
Traffic Inspector Next Generation версии 1.3.2 базируется на OPNsense версии 18.1.13. Весь перечень изменений в OPNsense 18.1.13 относительно предыдущих версий представлен на сайте проекта.
Доработки команды «Смарт-Софт» в новом релизе Traffic Inspector Next Generation:
1. Полностью переработан плагин os-proxy-useracl, позволяющий работать с пользовательскими и групповыми списками:
- добавлены фильтры по MIME-типам (по типам контента, доступ к которым необходимо регулировать);
- добавлена фильтрация по типу User Agent (по типу браузера, доступ с которого необходимо регулировать);
- добавлена возможность назначения правил на IP-адреса источника (IP-адреса сетевых адаптеров подключаемых устройств) с возможностью указания одиночных IP-адресов и IP-сетей;
- добавлена возможность назначения правил на IP-адреса назначения (IP-адреса ресурсов, доступом к которым необходимо управлять) с возможностью указания одиночных IP-адресов и IP-сетей;
- добавлен список расписаний для настройки (ограничения) доступа к ресурсам в течение указанного промежутка времени, по дням недели;
- добавлена возможность делать исключения для операций SSL-Bump (специального режима программного пакета Squid, используемого для перехвата и дешифровки содержимого зашифрованных HTTPS-сеансов) для того, чтобы дешифрование HTTPS не проводилось в отношении доверенных сайтов и не затрагивало их алгоритмы безопасности;
- добавлены черные / белые списки для ICAP (запрещающие / разрешающие правила управления обработкой протокола ICAP, используемого для модификации HTTP-запросов и HTTP-ответов, контроля над трафиком);
- добавлена возможность выбора опции regexp / dstdomain при составлении списков доменов (конструктор регулярных выражений /имя домена назначения).
2. Доработан плагин os-squid-log, используемый для доступа к отчетам по веб-прокси в веб-интерфейсе:
- добавлен режим отображения информации одновременно по пропущенному и заблокированному трафику.
3. В дашборд добавлена информация об аппаратной платформе и версии BIOS.
4. Обновлена и реорганизована документация Traffic Inspector Next Generation на сайте.
Также был доработан перевод на русский язык и исправлены обнаруженные ошибки.
Рекомендуем обновиться до версии Traffic Inspector Next Generation 1.3.2.
Доступна новая версия универсального шлюза безопасности (UTM) и системы обнаружения (предотвращения) вторжений Traffic Inspector Next Generation.
Traffic Inspector Next Generation версии 1.3.1 базируетсяна OPNsense версии 18.1.9. Весь перечень изменений в OPNsense 18.1.9 представлен на сайте проекта.
Доработки команды «Смарт-Софт» в новом релизе Traffic Inspector Next Generation:
- Система: запись лога на удалённый лог-сервер по протоколу TCP;
- APU-устройства: кнопка сброса в настройки по умолчанию, управление светодиодами;
- Администрирование: ACL для управления доступом к плагинам;
- Плагин os-kaspersky: возможность редактирования шаблонов ответов прокси;
- Прокси: кастомизированные шаблоны ответов для разных причин блокировки;
- Перевод назначений настроек tunnables.
Также был доработан перевод на русский язык и исправлены обнаруженные ошибки.
Рекомендуем обновиться до версии Traffic Inspector Next Generation 1.3.1.
Доступна новая версия универсального шлюза безопасности (UTM) и системы обнаружения (предотвращения) вторжений Traffic Inspector Next Generation.
Traffic Inspector Next Generation версии 1.3.0 базируется на OPNsense версии 18.1.5, включающей в себя переход на FreeBSD 11.1, PHP 7.1 и исправления, касающиеся уязвимостей Meltdown и Spectre. Весь перечень изменений в OPNsense 18.1.5 представлен на сайте проекта.
Доработки команды «Смарт-Софт» в релизе Traffic Inspector Next Generation 1.3.0:
- Антивирусная проверка трафика: добавлен плагин антивируса Kaspersky os-kaspersky; добавлен плагин os-c-icap-clamav – улучшенная альтернатива связке плагинов os-c-icap + os-clamav.
- Веб-прокси сервер: осуществлен переход на Squid 4.
- Обновления: на новых инсталляциях, начиная с версии 1.3.0, осуществлен переход на файловую систему ZFS.
- Пользовательский интерфейс: страница управления лицензиями доработана и переведена на шаблон проектирования MVC.
- Layer 7-фильтрация: в плагине os-ndpi улучшены обнаружение и блокировка Telegram.
- Сканер безопасности: в плагине os-security-scanner реализовано управление работой сервиса и доработан пользовательский интерфейс.
Также был доработан перевод на русский язык и исправлены обнаруженные ошибки.
Рекомендуем обновиться до версии Traffic Inspector Next Generation 1.3.0.
Доступна новая версия программно-аппаратного сетевого шлюза нового поколения Traffic Inspector Next Generation 1.2.5.
Доработки команды «Смарт-Софт» в релизе Traffic Inspector Next Generation 1.2.5:
- плагин os-proxy-useracl для веб-фильтрации с помощью прокси по спискам пользователей и групп: привязка правил к серверу аутентификации, возможность работать с группами sms-портала
- плагин os-sms-portal, реализующий функционал SMS-идентификации: полное соответствие требованиям законодательства РФ, специальный шаблон страницы SMS-идентификации с выбором группы или возрастной категории, поддержка новых SMS-шлюзов, просмотр статистики по SMS-пользователям в отчетах по прокси, возможность применять правила доступа Squid и NetPolice к SMS-пользователям >
- плагин os-netpolice для контентной фильтрации по спискам NetPolice: привязка правил к серверу аутентификации, возможность работать с группами sms-портала >
- плагин os-security-scanner, управляющий запуском и настройкой интеграционного фреймворка для сканеров безопасности GoLismero и обновлением баз уязвимостей: интегрирован сканер OpenVAS, что освобождает от необходимости использовать внешний OpenVAS-сканер >
- плагин os-ndpi для Layer 7-фильтрации: обновлена библиотека распознавания протоколов до версии 2.2 >
- web-прокси: локализация шаблонов ответов web-прокси
Версия Traffic Inspector Next Generation 1.2.5 базируется на OPNsense 17.7.12. Для версии OPNsense 17.7.12 команда «Смарт-Софт» предоставила плагин web-proxy-useracl 1.0. Весь перечень изменений в OPNsense 17.7.12 представлен на сайте проекта.
Рекомендуем обновиться до версии Traffic Inspector Next Generation 1.2.5.
Доступна новая версия межсетевого экрана Traffic Inspector Next Generation 1.2.4, основанная на OPNsense 17.7.11. В обновленной версии осуществлен переход на PHP 7.1.
Весь перечень изменений в OPNsense 17.7.11 представлен на сайте проекта.
Доработки команды «Смарт-Софт» в релизе Traffic Inspector Next Generation 1.2.4:
- плагин os-proxy-ntlm: NTLM-аутентификация на веб-прокси для тех, у кого нет возможности использовать Kerberos-аутентификацию;
- полная поддержка кириллических доменов во всех подсистемах;
- добавлена настройка SNMP в веб-прокси.
Рекомендуем обновиться до версии Traffic Inspector Next Generation 1.2.4.
Доступна новая версия Traffic Inspector Next Generation 1.2.3. Этот релиз основан на версии OPNsense 17.7.7, в которой OpenSSH обновлен до версии 7.6. Таким образом, протокол SSH версии 1 и RSA-ключи длиной менее 1024 бит больше не поддерживаются. Учтите это перед обновлением.
С подробным перечнем изменений OPNsense 17.7.7 можно ознакомиться на сайте проекта.
В релизе Traffic Inspector Next Generation 1.2.3, помимо обновления OPNsense, команда «Смарт-Софт» доработала ряд модулей:
- Добавлена возможность выборочного включения фильтрации сайтов по категориям для пользователей и групп в плагине os-netpolice, а также возможность применения фильтра для сайтов, которые не попали ни в одну из категорий NetPolice >
- Добавлен плагин os-proxy-ntlm для NTLM-аутентификации на web-прокси
Рекомендуем обновиться до версии Traffic Inspector Next Generation 1.2.3
Обновленная версия межсетевого экрана Traffic Inspector Next Generation основана на OPNsense 17.7 – передового дистрибутива для межсетевых экранов с открытым кодом. За годы своего развития OPNsense серьезно изменилась: функциональность распределена по отдельным модулям, реализован простой и надежный процесс обновления прошивки, появилась поддержка нескольких языков. В новом релизе OPNsense насчитывается более 300 изменений по сравнению с версией 17.1, в основном это оптимизация и модернизация различных компонентов платформы:
- Улучшена защита от переполнения стека в приложениях;
- Добавлен новый драйвер для сетевых адаптеров на чипах Realtek;
- Добавлен плагин Quagga, реализующий протоколы маршрутизации OSPFv2, OSPFv3, RIP v1/v2, RIPng и BGP-4;
- Добавлен плагин FreeRadius, реализующий сервер протокола аутентификации, авторизации и учета использования ресурсов RADIUS;
- DNS-резолвером, использующимся по умолчанию, стал Unbound;
- Раздел подкачки можно размещать на SSD-накопителе;
- Появилась поддержка STARTTLS при подключении к серверу LDAP;
- Запрещено анонимное и беспарольное соединение к Active Directory;
- Переработана система восстановления из бекапа;
- Переработан код генерации правил пакетного фильтра;
- Поддержка динамического DNS и DNS Update выделена в отдельный плагин.
Помимо обновления OPNsense, команда разработчиков Traffic Inspector Next Generation доработала ряд модулей:
- Добавлен хронологический тип отчета по веб-прокси;
- В модуле User ACL появилась настройка порядка применения правил;
- Добавлены интерактивные консольные инструменты администрирования trafshow и htop;
- Доработан перевод на русский язык.
Рекомендуем обновиться до версии 1.2.0. Процесс обновления описан здесь.
Релиз Traffic Inspector Next Generation, основанный на OPNsense версии 16.7.8, включает в себя следующие проприетарные разработки:
- Перевод системы логирования на syslog-ng. Рефакторинг настроек логирования.
- Добавлен функционал привязки к IP/MAC-адресам для пользователей прокси, что позволяет использовать смешанную аутентификацию (например, логин/пароль + IP-адрес). Плагин os-proxy-ipcheck.
- Функционал Proxy SSO выделен в отдельный плагин (os-proxy-sso).
- Групповые ACL для разных видов аутентификации (LDAP, Local). Теперь ACL, назначенные на группы, действуют независимо от используемого типа аутентификации. Данный функционал выделен в отдельный плагин os-proxy-useracl.
- Добавлен плагин os-squid-log и отчет по прокси. Отчет отображает результаты обработки запросов на прокси, статистику посещений по юзерам и доменам.
- Осуществлен перевод визардов на русский язык.
Релиз Traffic Inspector Next Generation основан на OPNsense версии 16.7.5. За прошедший год команда OPNsense значительно расширила и улучшила базовый функционал платформы OPNsense. Команда Смарт-Софт последовательно обновила базовую систему до OPNsense 16.7.5 и со своей стороны предоставила следующие разработки:
- Обновлена библиотека анализатора трафика nDPI до последней версии.
- Web-proxy SSO (прозрачная Active Directory аутентификация на прокси посредством Kerberos).
- Черные/белые списки на прокси по группам AD.
- Возможность блокировки кириллических URL на прокси.
- Возможность подключаться к VPN-серверам Microsoft по PPTP, L2TP с использованием CHAP и MS-CHAP аутентификации.
Релиз Traffic Inspector Next Generation, основанный на OPNsense версии 15.7, включает в себя следующие проприетарные разработки:
- Упрощенный интерфейс.
- Локализация на русский язык.
- Упрощенная первичная настройка.
- Автоматическое создание ключей и сертификатов для WEB-интерфейса и OpenVPN при старте системы.
- Анализатор трафика на уровне приложений (плагин os-ndpi).
- HTTP antivirus proxy (плагин os-havp) + антивирусный пакет ClamAV.