Traffic Inspector Next Generation

Traffic Inspector Next Generation 1.5.0

  • 16.09.2019  TRAFFIC INSPECTOR NEXT GENERATION 1.5.0
    Доступна новая версия универсального шлюза безопасности (UTM) и системы обнаружения (предотвращения) вторжений Traffic Inspector Next Generation.


    В новом релизе Traffic Inspector Next Generation:


    1.      Осуществлен перевод на актуальную версию OPNsense 19.7.3, что позволяет пользователям использовать все преимущества обновленной платформы.


    Что нового:

    • Логирование правил NAT. При включенной функции в логах межсетевого экрана сохраняется информация о срабатывании правил NAT.

    • WPAD / PAC и поддержка родительского прокси на веб-прокси. Доработка предоставляет возможность автоматической настройки прокси-сервера в браузерах клиентов.

    • Поддержка DNSSEC в DNS-сервере Dnsmasq обеспечивает защиту от подмены IP-адресов за счет криптографической проверки подлинности источника данных и проверки целостности данных.

    • OpenVPN client export API предоставляет возможность автоматизации процесса выдачи клиентских сертификатов для OpenVPN.

    • Добавлены новые плагины:

             -  API backup export – автоматизация работы с резервными копиями;

             -  Hardware widget – предоставление сведений об аппаратной платформе;

             -  Nginx – веб-сервер и почтовый прокси-сервер.   

    • Добавлено отображение автоматических правил межсетевого экрана в веб-интерфейсе, что позволяет получить полный перечень используемых правил.

    • Добавлен сбор и отображение статистики для всех правил межсетевого экрана.

    • Обеспечена поддержка синхронизации групп пользователей в LDAP.

    • Обеспечена поддержка запросов на генерацию сертификатов (CSR, Certificate Signing Request) – больше нет необходимости полностью генерировать SSL-сертификаты на устройстве, достаточно подписать уже заранее сформированный запрос на сертификат.


    2.      Добавлена аутентификация пользователей на прокси по их IP/MAC-адресам.


    3.      Обеспечена возможность сохранения резервных копий конфигурационного файла config.xml в сервисе Яндекс.Диск.


    4.      При установке нового плагина в меню Traffic Inspector Next Generation автоматически появляется относящийся к новому плагину раздел. Доработка снимает необходимость ручного обновления интерфейса меню администратором при установке каждого нового плагина.


    5.      Добавлена возможность выбора темы оформления. В базовой поставке Traffic Inspector Next Generation предустановлены две темы. Для использования трех дополнительных тем оформления необходимо установить соответствующие плагины.

    Также были исправлены обнаруженные ошибки.



    При миграции на новую версию, пожалуйста, обратите внимание на следующие моменты:


    • Графики работоспособности шлюза могут нуждаться в ручном сбросе из-за миграции Apinger в Dpinger. Apinger больше недоступен.

    • Правила обнаружения вторжений GeoIP автоматически деактивируются и должны быть вручную перенесены в псевдоним брандмауэра GeoIP.

    • Плагин quagga был заменен на FRR плагин. Бинарный пакет quagga сохранен на данный момент.

    • Рекомендуем ознакомиться с документацией FRR в отношении необходимых системных перенастроек.

    • Загрузка Bhyve UEFI может завершиться ошибкой в качестве гостя. Эта проблема изучается.

    • Плагин SNMP был заменен плагином Net-SNMP.

    • Привилегия входа через веб-прокси больше недоступна. Вместо этого доступ может быть ограничен селектором группы.

    • OpenVPN больше не поддерживает прослушивание групп шлюзов. Вместо этого необходимо использовать localhost в сочетании с переадресацией портов.



    Рекомендуем обновиться до версии Traffic Inspector Next Generation 1.5.0. 

Traffic Inspector Next Generation 1.4.1

  • 18.07.2019  TRAFFIC INSPECTOR NEXT GENERATION 1.4.1
    Доступна новая версия универсального шлюза безопасности (UTM) и системы обнаружения (предотвращения) вторжений Traffic Inspector Next Generation.


    Доработки команды «Смарт-Софт» в новом релизе Traffic Inspector Next Generation:

    1.  Добавлен плагин os-gostvpn, построенный на интеграции со средством криптографической защиты информации (СКЗИ) «МагПро Криптопакет». Использование плагина позволяет организовывать шифрованные по ГОСТ VPN-каналы связи. Криптографическое шифрование данных осуществляется в соответствии с ГОСТ Р 34.10-2012, P 34.11-2012, 28147-89.

    2.  Плагин os-ndpi - Layer 7-фильтрация, основанная на nDPI:

    • Добавлена функция выбора интерфейса для мониторинга;

    • Библиотека распознавания протоколов обновлена до последней, актуальной версии.


    3.  Плагины os-cms-master (настройка мастер-узла), os-cms-node (настройка параметров подчиненного узла) системы централизованного управления распределенной инфраструктурой сетевых шлюзов Traffic Inspector Next Generation:

    • Теперь для каждого плагина необходимо использовать отдельную лицензию;

    • Добавлена возможность сохранять настройки фильтров в отчетах по веб-прокси.


    Также были исправлены обнаруженные ошибки.


    Traffic Inspector Next Generation версии 1.4.1 базируется на OPNsense версии 18.7.10. Весь перечень изменений в OPNsense 18.7.10 относительно предшествующих версий представлен на сайте проекта


    Рекомендуем обновиться до версии Traffic Inspector Next Generation 1.4.1. 

Traffic Inspector Next Generation 1.4.0

  • 27.02.2019  TRAFFIC INSPECTOR NEXT GENERATION 1.4.0
    Доступна новая версия универсального шлюза безопасности (UTM) и системы обнаружения (предотвращения) вторжений Traffic Inspector Next Generation.

    Доработки команды «Смарт-Софт» в новом релизе Traffic Inspector Next Generation:


    1.   Плагин os-ids-rules - редактор правил для системы обнаружения вторжений:

    • Появилась возможность добавлять собственные правила.


    2.   Плагин os-proxy-useracl - работа с пользовательскими и групповыми списками:

    • Добавлена возможность множественного выбора в поле групп/пользователей для правил;
    • Добавлена маршрутизация пользователей на разные WAN-интерфейсы, таким образом, появилась возможность автоматически направлять различных пользователей через разные каналы связи.


    3.   Плагин os-proxy-sso - аутентификация пользователей на веб-прокси через протокол Kerberos:


    4.   Плагин os-ndpi - Layer 7-фильтрация, основанная на nDPI:

    • Библиотека распознавания протоколов обновлена до последней, актуальной версии.


    5.   Плагин os-squid-log-pg – сбор данных по запросам пользователей из лог-файла веб-прокси в базу данных для формирования отчетности о доступе в интернет:

    • PostgreSQL backend для хранения логов прокси.


    6.   Плагин os-security-scanner – сканер безопасности:

    • Добавлена возможность выбора плагинов сканирования.


    7.   Captive-portal - веб-портал, на который попадает пользователь после подключения к сети компании:

    • Добавлена возможность создавать черный список MAC-адресов для блокировки доступа к сети пользователей, включенных в этот список.


    8.   Веб-прокси:

    • Добавлена опция ICAP bypass, позволяющая обрабатывать трафик без ICAP-сервиса в случае, если прокси обнаружил, что ICAP-сервис не отвечает.


    9.   Активированы плагины централизованной системы управления несколькими устройствами Traffic Inspector Next Generation.


    10. Подготовлена документация по настройке SMTP-шлюза.


    Также был осуществлен перевод на русский язык инсталлятора, консольного меню и исправлены обнаруженные ошибки.



    Traffic Inspector Next Generation версии 1.4.0 базируется на OPNsense версии 18.7.7. Весь перечень изменений в OPNsense 18.7.7 относительно предшествующих версий представлен на сайте проекта. Обращаем ваше внимание на следующие моменты в связи с миграцией:


    • SSH-доступ теперь привязан к группе «wheel», автоматически добавляемой к группе «admins», членом которой является «root». «Root» - единственный пользователь, которому назначен shell по умолчанию (opnsense-shell, вызывающий консольное меню root).

    • Назначение SSH-доступа выбранной группе пользователей, не входящей в группу «admins», доступно через меню «Система». Однако, работать будет только SCP, что связано с запросами клиентов о более внимательном отношении к правам доступа к shell. В случае необходимости предоставить пользователю интерактивный доступ по SSH рекомендуем сменить shell «nologin» на предустановленный shell в соответствии с его настройками.

    • Были усилены алгоритмы шифрования Web GUI HTTPS. Для доступа рекомендуем использовать обновленные версии браузеров.

    • Резервные способы аутентификации в GUI/систему удалены в связи с возможностью выбора нескольких серверов аутентификации одновременно. В связи с этим необходимо назначить текущий резервный способ аутентификации в качестве основного или использовать несколько способов.

    • Хотя WAN-интерфейсам требуется шлюз для нормального функционирования, для исключения воздействия на обслуживание ответов WAN назначение шлюза в single-WAN сценарии является необязательным. В связи с этим выбор «none» был изменен на «auto-detect». Теперь это рекомендованная настройка, если не используется multi-WAN.

    • Для подготовки к API для работы с псевдонимами межсетевого экрана описания элементов были удалены, поскольку они поддерживали устаревшие типы urltable_ports  и url_ports.

    • В OpenVPN вычисление /31 сети туннеля изменено для использования первого и последнего адреса в качестве адреса сети. Широковещательного адреса не существует.  Если это затрагивает ваши настойки, пожалуйста, отрегулируйте ваших клиентов или экспортируйте их конфигурацию заново. Она будет содержать нужные изменения.  Дополнительно, /32 сети туннеля теперь запрещены.


    Рекомендуем обновиться до версии Traffic Inspector Next Generation 1.4.0.

Traffic Inspector Next Generation 1.3.3

  • 02.11.2018  TRAFFIC INSPECTOR NEXT GENERATION 1.3.3
    Доступна новая версия универсального шлюза безопасности (UTM) и системы обнаружения (предотвращения) вторжений Traffic Inspector Next Generation.

    Traffic Inspector Next Generation версии 1.3.3 базируется на OPNsense версии 18.1.13. Весь перечень изменений в OPNsense 18.1.13 относительно предыдущих версий представлен на сайте проекта


    Доработки команды «Смарт-Софт» в новом релизе Traffic Inspector Next Generation:

    1. Плагин os-proxy-useracl, позволяющий работать с пользовательскими и групповыми списками:

    • добавлены автообновляемые удалённые чёрные списки, в том числе списки Роскомнадзора (IP, URL), список блокировки рекламы;

    • добавлены предопределённые списки MIME-типов.


    2. Плагин os-c-icap-clamav, поддерживающий проверку HTTP-, HTTPS-трафика:


    3. Плагин os-sms-portal, реализующий функционал SMS-идентификации:

    • добавлена поддержка протокола SMPP для отправки сообщений.


    4. Плагин антивируса Касперского os-kaspersky:

    • добавлены опции сканирования Phishing и Kaspersky Security Network (KSN).


    Также были исправлены обнаруженные ошибки.


    Рекомендуем обновиться до версии Traffic Inspector Next Generation 1.3.3.

Traffic Inspector Next Generation 1.3.2

  • 16.10.2018  TRAFFIC INSPECTOR NEXT GENERATION 1.3.2
    Доступна новая версия универсального шлюза безопасности (UTM) и системы обнаружения (предотвращения) вторжений Traffic Inspector Next Generation.

    Traffic Inspector Next Generation версии 1.3.2 базируется на OPNsense версии 18.1.13. Весь перечень изменений в OPNsense 18.1.13 относительно предыдущих версий представлен на сайте проекта


    Доработки команды «Смарт-Софт» в новом релизе Traffic Inspector Next Generation:

    1. Полностью переработан плагин os-proxy-useracl, позволяющий работать с пользовательскими и групповыми списками:

    • добавлены фильтры по MIME-типам (по типам контента, доступ к которым необходимо регулировать);

    • добавлена фильтрация по типу User Agent (по типу браузера, доступ с которого необходимо регулировать);

    • добавлена возможность назначения правил на IP-адреса источника (IP-адреса сетевых адаптеров подключаемых устройств) с возможностью указания одиночных IP-адресов и IP-сетей;

    • добавлена возможность назначения правил на IP-адреса назначения (IP-адреса ресурсов, доступом к которым необходимо управлять) с возможностью указания одиночных IP-адресов и IP-сетей;

    • добавлен список расписаний для настройки (ограничения) доступа к ресурсам в течение указанного промежутка времени, по дням недели;  

    • добавлена возможность делать исключения для операций SSL-Bump (специального режима программного пакета Squid, используемого для перехвата и дешифровки содержимого зашифрованных HTTPS-сеансов) для того, чтобы дешифрование HTTPS не проводилось в отношении доверенных сайтов и не затрагивало их алгоритмы безопасности;

    • добавлены черные / белые списки для ICAP (запрещающие / разрешающие правила управления обработкой протокола ICAP, используемого для модификации HTTP-запросов и HTTP-ответов, контроля над трафиком);

    • добавлена возможность выбора опции regexp / dstdomain при составлении списков доменов (конструктор регулярных выражений /имя домена назначения).


    2. Доработан плагин os-squid-log, используемый для доступа к отчетам по веб-прокси в веб-интерфейсе:

    • добавлен режим отображения информации одновременно по пропущенному и заблокированному трафику.


    3. В дашборд добавлена информация об аппаратной платформе и версии BIOS.


    4. Обновлена и реорганизована документация Traffic Inspector Next Generation на сайте.


    Также был доработан перевод на русский язык и исправлены обнаруженные ошибки.


    Рекомендуем обновиться до версии Traffic Inspector Next Generation 1.3.2.

Traffic Inspector Next Generation 1.3.1

  • 25.07.2018  TRAFFIC INSPECTOR NEXT GENERATION 1.3.1
    Доступна новая версия универсального шлюза безопасности (UTM) и системы обнаружения (предотвращения) вторжений Traffic Inspector Next Generation.

    Traffic Inspector Next Generation версии 1.3.1 базируетсяна OPNsense версии 18.1.9. Весь перечень изменений в OPNsense 18.1.9 представлен на сайте проекта


    Доработки команды «Смарт-Софт» в новом релизе Traffic Inspector Next Generation:

    • Система: запись лога на удалённый лог-сервер по протоколу TCP;
    • APU-устройства: кнопка сброса в настройки по умолчанию, управление светодиодами;

    • Администрирование: ACL для управления доступом к плагинам;

    • Плагин os-kaspersky: возможность редактирования шаблонов ответов прокси;

    • Прокси: кастомизированные шаблоны ответов для разных причин блокировки;

    • Перевод назначений настроек tunnables.


    Также был доработан перевод на русский язык и исправлены обнаруженные ошибки.


    Рекомендуем обновиться до версии Traffic Inspector Next Generation 1.3.1.

Traffic Inspector Next Generation 1.3.0

  • 19.04.2018  TRAFFIC INSPECTOR NEXT GENERATION 1.3.0
    Доступна новая версия универсального шлюза безопасности (UTM) и системы обнаружения (предотвращения) вторжений Traffic Inspector Next Generation.

    Traffic Inspector Next Generation версии 1.3.0 базируется на OPNsense версии 18.1.5, включающей в себя переход на FreeBSD 11.1, PHP 7.1 и исправления, касающиеся уязвимостей Meltdown и Spectre. Весь перечень изменений в OPNsense 18.1.5 представлен на сайте проекта.

    Доработки команды «Смарт-Софт» в релизе Traffic Inspector Next Generation 1.3.0:

    • Антивирусная проверка трафика: добавлен плагин антивируса Kaspersky os-kaspersky; добавлен плагин os-c-icap-clamav – улучшенная альтернатива связке плагинов os-c-icap + os-clamav.
    • Веб-прокси сервер: осуществлен переход на Squid 4.

    • Обновления: на новых инсталляциях, начиная с версии 1.3.0, осуществлен переход на файловую систему ZFS.
    • Пользовательский интерфейс: страница управления лицензиями доработана и переведена на шаблон проектирования MVC.
    • Layer 7-фильтрация: в плагине os-ndpi улучшены обнаружение и блокировка Telegram.
    • Сканер безопасности: в плагине os-security-scanner реализовано управление работой сервиса и доработан пользовательский интерфейс.

    Также был доработан перевод на русский язык и исправлены обнаруженные ошибки.


    Рекомендуем обновиться до версии Traffic Inspector Next Generation 1.3.0.

Traffic Inspector Next Generation 1.2.5

  • 02.02.2018  TRAFFIC INSPECTOR NEXT GENERATION 1.2.5
    Доступна новая версия программно-аппаратного сетевого шлюза нового поколения Traffic Inspector Next Generation 1.2.5.

    Доработки команды «Смарт-Софт» в релизе Traffic Inspector Next Generation 1.2.5:

    • плагин os-proxy-useracl для веб-фильтрации с помощью прокси по спискам пользователей и групп: привязка правил к серверу аутентификации, возможность работать с группами sms-портала
    • плагин os-sms-portal, реализующий функционал SMS-идентификации: полное соответствие требованиям законодательства РФ, специальный шаблон страницы SMS-идентификации с выбором группы или возрастной категории, поддержка новых SMS-шлюзов, просмотр статистики по SMS-пользователям в отчетах по прокси, возможность применять правила доступа Squid и NetPolice к SMS-пользователям >

    • плагин os-netpolice для контентной фильтрации по спискам NetPolice: привязка правил к серверу аутентификации, возможность работать с группами sms-портала >

    • плагин os-security-scanner, управляющий запуском и настройкой интеграционного фреймворка для сканеров безопасности GoLismero и обновлением баз уязвимостей: интегрирован сканер OpenVAS, что освобождает от необходимости использовать внешний OpenVAS-сканер >

    • плагин os-ndpi для Layer 7-фильтрации: обновлена библиотека распознавания протоколов до версии 2.2 >

    • web-прокси: локализация шаблонов ответов web-прокси


    Версия Traffic Inspector Next Generation 1.2.5 базируется на OPNsense 17.7.12. Для версии OPNsense 17.7.12 команда «Смарт-Софт» предоставила плагин web-proxy-useracl 1.0. Весь перечень изменений в OPNsense 17.7.12 представлен на сайте проекта

    Рекомендуем обновиться до версии Traffic Inspector Next Generation 1.2.5.

Traffic Inspector Next Generation 1.2.4

  • 29.12.2017  TRAFFIC INSPECTOR NEXT GENERATION 1.2.4
    Доступна новая версия межсетевого экрана Traffic Inspector Next Generation 1.2.4, основанная на OPNsense 17.7.11. В обновленной версии осуществлен переход на PHP 7.1.

    Весь перечень изменений в OPNsense 17.7.11 представлен на сайте проекта.

    Доработки команды «Смарт-Софт» в релизе Traffic Inspector Next Generation 1.2.4:

    • плагин os-proxy-ntlm: NTLM-аутентификация на веб-прокси для тех, у кого нет возможности использовать Kerberos-аутентификацию;
    • полная поддержка кириллических доменов во всех подсистемах;
    • добавлена настройка SNMP в веб-прокси.

    Рекомендуем обновиться до версии Traffic Inspector Next Generation 1.2.4.

Traffic Inspector Next Generation 1.2.3

  • 10.11.2017  TRAFFIC INSPECTOR NEXT GENERATION 1.2.3
    Доступна новая версия Traffic Inspector Next Generation 1.2.3. Этот релиз основан на версии OPNsense 17.7.7, в которой OpenSSH обновлен до версии 7.6. Таким образом, протокол SSH версии 1 и RSA-ключи длиной менее 1024 бит больше не поддерживаются. Учтите это перед обновлением.

    С подробным перечнем изменений OPNsense 17.7.7 можно ознакомиться на сайте проекта.

    В релизе Traffic Inspector Next Generation 1.2.3, помимо обновления OPNsense, команда «Смарт-Софт» доработала ряд модулей:

    • Добавлена возможность выборочного включения фильтрации сайтов по категориям для пользователей и групп в плагине os-netpolice, а также возможность применения фильтра для сайтов, которые не попали ни в одну из категорий NetPolice >
    • Добавлен плагин os-proxy-ntlm для NTLM-аутентификации на web-прокси

    Рекомендуем обновиться до версии Traffic Inspector Next Generation 1.2.3

Traffic Inspector Next Generation 1.2.0

  • 14.09.2017  TRAFFIC INSPECTOR NEXT GENERATION 1.2.0
    Обновленная версия межсетевого экрана Traffic Inspector Next Generation основана на OPNsense 17.7 – передового дистрибутива для межсетевых экранов с открытым кодом. За годы своего развития OPNsense серьезно изменилась: функциональность распределена по отдельным модулям, реализован простой и надежный процесс обновления прошивки, появилась поддержка нескольких языков. В новом релизе OPNsense насчитывается более 300 изменений по сравнению с версией 17.1, в основном это оптимизация и модернизация различных компонентов платформы: 

    • Улучшена защита от переполнения стека в приложениях;
    • Добавлен новый драйвер для сетевых адаптеров на чипах Realtek;

    • Добавлен плагин Quagga, реализующий протоколы маршрутизации OSPFv2, OSPFv3, RIP v1/v2, RIPng и BGP-4;

    • Добавлен плагин FreeRadius, реализующий сервер протокола аутентификации, авторизации и учета использования ресурсов RADIUS;

    • DNS-резолвером, использующимся по умолчанию, стал Unbound;

    • Раздел подкачки можно размещать на SSD-накопителе;

    • Появилась поддержка STARTTLS при подключении к серверу LDAP;

    • Запрещено анонимное и беспарольное соединение к Active Directory;

    • Переработана система восстановления из бекапа;

    • Переработан код генерации правил пакетного фильтра;

    • Поддержка динамического DNS и DNS Update выделена в отдельный плагин.


    Помимо обновления OPNsense, команда разработчиков Traffic Inspector Next Generation доработала ряд модулей:

    • Добавлен хронологический тип отчета по веб-прокси;
    • В модуле User ACL появилась настройка порядка применения правил;

    • Добавлены интерактивные консольные инструменты администрирования trafshow и htop;

    • Доработан перевод на русский язык.


    Рекомендуем обновиться до версии 1.2.0. Процесс обновления описан здесь.



Traffic Inspector Next Generation 1.0.2

  • 01.02.2017  TRAFFIC INSPECTOR NEXT GENERATION 1.0.2
    Релиз Traffic Inspector Next Generation, основанный на OPNsense версии 16.7.8, включает в себя следующие проприетарные разработки:

    • Перевод системы логирования на syslog-ng. Рефакторинг настроек логирования.
    • Добавлен функционал привязки к IP/MAC-адресам для пользователей прокси, что позволяет использовать смешанную аутентификацию (например, логин/пароль + IP-адрес). Плагин os-proxy-ipcheck.
    • Функционал Proxy SSO выделен в отдельный плагин (os-proxy-sso).
    • Групповые ACL для разных видов аутентификации (LDAP, Local). Теперь ACL, назначенные на группы, действуют независимо от используемого типа аутентификации. Данный функционал выделен в отдельный плагин os-proxy-useracl.
    • Добавлен плагин os-squid-log и отчет по прокси. Отчет отображает результаты обработки запросов на прокси, статистику посещений по юзерам и доменам.
    • Осуществлен перевод визардов на русский язык.


Traffic Inspector Next Generation 1.0.1

  • 03.10.2016  TRAFFIC INSPECTOR NEXT GENERATION 1.0.1
    Релиз Traffic Inspector Next Generation основан на OPNsense версии 16.7.5. За прошедший год команда OPNsense значительно расширила и улучшила базовый функционал платформы OPNsense. Команда Смарт-Софт последовательно обновила базовую систему до OPNsense 16.7.5 и со своей стороны предоставила следующие разработки:

    • Обновлена библиотека анализатора трафика nDPI до последней версии.
    • Web-proxy SSO (прозрачная Active Directory аутентификация на прокси посредством Kerberos).
    • Черные/белые списки на прокси по группам AD.
    • Возможность блокировки кириллических URL на прокси.
    • Возможность подключаться к VPN-серверам Microsoft по PPTP, L2TP с использованием CHAP и MS-CHAP аутентификации.


Traffic Inspector Next Generation 1.0.0

  • 14.10.2015  TRAFFIC INSPECTOR NEXT GENERATION 1.0.0

    Релиз Traffic Inspector Next Generation, основанный на OPNsense версии 15.7, включает в себя следующие проприетарные разработки:


    • Упрощенный интерфейс.
    • Локализация на русский язык.
    • Упрощенная первичная настройка.
    • Автоматическое создание ключей и сертификатов для WEB-интерфейса и OpenVPN при старте системы.
    • Анализатор трафика на уровне приложений (плагин os-ndpi).
    • HTTP antivirus proxy (плагин os-havp) + антивирусный пакет ClamAV.