Возможности интернет-шлюза Ideco Control Server

Интернет-шлюз является одним из ключевых компонентов сетевой инфраструктуры организации, поэтому к выбору конкретной реализации подходят особенно тщательно. Полнофункциональный продукт должен обеспечивать пользователей стабильным доступом в интернет. Администратор должен получать подробную статистику и быть уверенным, что внутренние ресурсы компании надежно защищены от сетевых угроз. И что не мало важно, такое решение должно быть простым и понятным в настройках.

Возможности Ideco ICS

Разработка интернет-шлюза Ideco ICS (ideco-software.ru) ведется достаточно давно. Изначально особенностями это комплесное решение выделяло удобство и простота в настройках, многофункциональность и безопасность.

Построен Ideco ICS на ядре Linux 2.4 и состоит из ряда компонентов распространяемых под свободными лицензиями. Выделим основные возможности продукта:

— организация совместного доступа в интернет — прокси-сервер и NAT с возможностью управления доступом в интернет и учетом трафика;
— защита ресурсов внутренней сети — firewall, блокировка IP-адресов, узлов и протоколов, блокировка некоторых сетевых атак, антивирус (ClamAV, DrWeb, Антивирус Касперского), контентная фильтрация по 14 категориям (с базой русских сайтов) и антиспам (три уровня: предварительный, DSPAM и Dr.Web Antispam).
— управление трафиком — балансировка нагрузки, оптимизация трафика (перенаправление разного типа трафика на оптимальные каналы), приоритезация трафика – QoS, portmaper.
— организация сервисов — VPN, DHCP, DNS, Web (с Joomla, phpbb, dokuwiki), FTP, файловый, time, Jabber и SMTP/POP3.

Администратору доступна информация по активности пользователя в интернет, статистика в реальном времени, TOP по разным категориям. Поддерживаются все популярные виды доступа в интернет, включая PPPoE и PPTP. Авторизация пользователя возможна по IP, IP+MAC, PPPoE, PPTP, при помощи клиента IdecoAgent, через веб, реализована синхронизация данных с LDAP и Active Directory. Удаленное подключение к локальной сети выполняется посредством VPN (PPTP и CIPE, см. врезку).
Особое внимание уделено защите самого сервера. Компоненты условно разделены на две группы: изменяемые и неизменяемые. Постоянно отслеживается контрольная сумма неизменяемых. Системные и файлы сервисов не может изменить даже пользователь с правами root. Все основные сервисы (WWW, Squid, Mail, FTP и т.д.) изначально работают в окружении chroot. Модуль отказоустойчивости восстанавливает систему после сбоя, система автоматического обновления поддерживает актуальное состояние сервера Ideco.
На сайте доступна ознакомительная версия, которая будет работать в полнофункциональном режиме в течение 45 суток. Для домашнего использования и обучения предлагается бесплатная лицензия (на 5 компьютеров). Чтобы ее получить, необходимо лишь заполнить форму на сайте, указав правильный e-mail, на который придет заветный ключ. После необходимо зарегистрировать систему уже через веб-интерфейс.

Установка Ideco ICS

Установка Ideco ICS производится на «чистый» компьютер. В качестве системных требований (подходящих для небольших сетей) указаны: 1.5 ГГц CPU, 256 Мб RAM, хардом от 40 Мб и 2 NIC, что по современным меркам весьма скромно. В списке достоинств Ideco не указаны возможности по организации Wi-Fi точки доступа, но очевидно, на шлюзе это будет излишняя функциональность. Поэтому пользователей, работающих через Wi-Fi, подключаем к отдельной точке доступа, а затем авторизируем на Ideco. Для работы в сетях вроде WiMAX необходимы модемы, поддерживающие Ethernet, так как USB устройства Ideco не поддерживаются.
Мастер настройки сервера Ideco ICS
Программа установки максимально упрощена и к тому же изначально локализована, последовательно проходим все шаги, отвечая на вопросы мастера. Все данные на харде будут уничтожены, поэтому экспериментировать на живом компьютере не стоит. Инсталлятор также позволяет обновить или восстановить систему. После перезагрузки следует настроить сервер при помощи мастера. Для регистрации в консоли используем логин Administrator с паролем servicemode. Всего нужно пройти 3 шага: настройка локального интерфейса, подключение к провайдеру и настройка входа админа. Следуя за указаниями мастера, заполняем или выбираем параметры. Например, вход в веб-интерфейс для админа по умолчанию возможен с любого адреса. С точки зрения безопасности это не очень удачная настройка, мастер позволяет указать конкретный IP с которого будет заходить админ. Далее производится поиск компьютеров в локальной сети, все найденные системы можно добавить в группу «Моя организация» и указать для нее способ авторизации. Стоит воспользоваться предоставленной возможностью, это упрощает настройку и дает удобный шаблон для анализа, позволяющий понять, как работает Ideco ICS. Всем найденным системам будет автоматически разрешен выход в интернет после перезагрузки сервиса, клиентам необходимо лишь указать адрес сервера Ideco в качестве шлюза.
Также предлагается указать денежный лимит трафика. По умолчанию одна единица равна 1 Мб, но эту цифру легко изменить в настройках, зарегистрировавшись через веб-интерфейс.
По окончании работы мастера будет выведен IP, который нужно вводить в браузере. После перезагрузки в консоли (локальной или удаленной SSH) будет доступно меню, при помощи которого легко производить основные операции по созданию бэкапа, мониторингу сети, настройке сервера и т.д. Но нас сейчас интересует веб-интерфейс.

Веб-интерфейс Ideco ICS

Регистрируемся при помощи учетных данных (Administrator/servicemode), принимаем сертификат. На странице приветствия есть ряд полезных ссылок: веб-почта, FAQ, программа IdecoAgent, описание и файлы для автоматической настройки VPN в Win98/2000/XP/2003. Выбрав «Полезные файлы», пользователь может скачать ряд приложений для работы в интернет — FireFox, IE, Opera, Miranda и Thunderbird.
Веб-интерфейс поддерживает IE, FireFox, Chrome и Opera (не работает контекстное меню). Но иногда при работе в FireFox/Chrome не переключаются некоторые вкладки на странице. Если такая ситуация возникнет, следует просто перезагрузить страницу по , хотя при настройках это мешает.
Визуально интерфейс разделен на три части. Вверху находится главное меню, состоящее из 6 основных пунктов, названия которых говорят сами за себя: Пользователи, Монитор (мониторинг служб и аудит событий, графики загруженности, отчеты за месяц), Безопасность, Сервер, Тарифы, О Программе.
При выборе нужного пункта открывается окно, разделенное на две части. Слева выбираются параметры, справа в большом окне указываются их значения. Учитывая возможности Ideco, обо всех рассказывать не будем, разберем только основные настройки.

Подключаем пользователей в Ideco ICS

Чтобы остальные пользователи могли беспрепятственно выходить в интернет, следует создать для них учетные записи и авторизовать на сервере. Все внутренние сервера, которым необходим доступ «из вне», также обязательно должны быть прописаны на шлюзе.
Переходим во вкладку Пользователи. Для удобства управления учетные записи пользователей собраны в группы, причем группы могут быть вложенными, что позволяет задавать любую иерархию настроек. А параметры устанавливаются как для всей группы, так и при необходимости и индивидуально для пользователя. После инсталляции сервера в списке будет несколько групп, которые приведены для примера настроек. Их можно удалить или переименовать, оставив настройки.
Как уже говорилось, все системы, которые найдет сканер, будут автоматически добавлены в группу «Моя организация». Кроме этого, отдельно прописана учетная запись Главного администратора, сетевые интерфейсы и Корзина, в которую на некоторое время перемещаются удаленные учетные записи (с возможностью их восстановления).
Монитор подключений
Группа и пользователь создаются при помощи соответствующих кнопок на панели или из контекстного меню. Например, нажимаем кнопку «Создать пользователя» и в новом окне заполняем параметры — имя, логин и пароль. Пароль применяется только при подключении через веб-интерфейс, при авторизации по IP, как ты понимаешь, он не нужен. Если используется база AD, то соответствующие данные берутся с нее. Новый пользователь автоматически наследует все параметры, установленные для группы — тип авторизации, использование NAT, разрешение на вход по VPN с внешнего интерфейса, баланс, тариф, пул адресов, данные для работы с Jаbber и e-mail и другие. Тарификация производится как для отдельного пользователя, так и для группы, в которую он входит. При расходе трафика отдельного пользователя изменяется и расход всех вышестоящих групп. Поэтому можно легко задать общий лимит на группу, отдел, распределив по организации потребление трафика.
Создаем нового пользователя
Если не планируется использование тарификации подключений, то нужно проследить, чтобы был снят флажок «Порог отключения» во вкладке Баланс или создать нулевой тариф. Пользователю могут быть назначены права администратора, для этого необходимо в «Дополнительно» установить флажок — Администратор технический, Администратор финансовый, Администратор карт оплаты.
Во вкладке Ограничения устанавливаются правила, лимитирующие пользователя: по IP-трафику (запрет на использование ICQ/IM, почты, трафику, веб, в том числе и нескольких тематик), по IP-адресам (запрет/разрешение на посещение определенных IP) и по времени подключения.
Настраиваем тарифный план
При наведении мышки на параметр появляется всплывающая подсказка, что помогает разобраться в его назначении. Информация по использованию канала выводится во вкладке Статистика. Здесь можно сделать выборку по времени, пользователям, подсетям. По отдельной ссылке выводятся данные логов Squid. Чтобы войти в кабинет пользователя, надо щелкнуть ссылку «Статистика посещений», кроме собственно просмотра собранных данных по расходу трафика, доступна информация по всем установкам и ограничениям, касающимся конкретной учетной записи. После ввода всех параметров интерфейс позволяет проверить настройки, для этого необходимо выбрать пользователя или группу и нажать кнопку «Проверить возможность подключения».
Типичное правило firewall в Ideco ICS
Пользователи могут уезжать в командировку, уходить в отпуск, менять отдел, тарифный план и т.п. Поэтому часто возникает необходимость в смене их настроек, временной или глобальной. Проще настройки менять при помощи членства в группах. Создаем группу с определенными параметрами, в которую и перемещаем пользователя. В этом случае не придется искать, кто с какими установками сейчас работает. Для переноса учетной записи между группами следует скопировать запись в буфер и вставить в нужное место (Добавить в буфер/Вставить из буфера). Следует учесть, что после переноса настройки пользователя еще сохраняются, для их синхронизации с установками всей группы следует отметить группу и нажать Сохранить.
В Ideco ICS применена гибкая система тарификации. Тарифные планы, пулы IP-адресов и правила для сетей и интерфейсов настраиваются во вкладке Тарифы. После установки будет доступно два примера тарифов (обычный и с ограничением скорости). При создании нового тарифа указываются стоимость входящих и исходящих, устанавливается блокировка при превышении, время действия, скорость и количество трафика.
Просмотр графиков загруженности системы Ideco ICS

Безопасность внутренней сети

Настройки всех компонентов, отвечающих за защиту ресурсов внутренней сети, собраны в меню Безопасность и состоят из 10 подпунктов. Чтобы разрешить доступ по SSH, следует установить соответствующие флажки в «Общие настройки». Здесь же разрешается маршрутизация между интерфейсами (внешними и локальными), устанавливаются ограничения на количество сессий и блокировка сканеров портов, указывается IP системы админа и максимальное количество сессий. Далее идут две группы правил firewall. Правила объединяются в группы, поэтому легко управлять большим количеством настроек. Доступны две группы — системные (то есть общие для всех) и пользовательские, которые затем используются при задании ограничений для групп и пользователей.
В правилах производятся установки, которые обычно админ указывает в консоли при помощи iptables. Здесь же все они задаются в понятной графической среде: IP-адреса источника и назначения, протокол, порт, время действия, направление и интерфейс, скорость и размер сессии, при которой будет срабатывать правило и действие. Список последних очень большой, от стандартных Запретить/Разрешить до использования шейпера и фильтров. Чтобы просмотреть список фильтров, идем в подменю «Ключевые слова», где уже есть заготовки 15 категорий. Взяв любой за пример, очень просто создать на их основе свой фильтр. В остальных подменю производится настройка антивирусных и антиспам модулей.
В целях повышения безопасности все встроенные сервисы отключены, администратор во вкладке Сервер самостоятельно выбирает и активирует то, что действительно необходимо. Выбираем нужный сервис, активируем его установкой флажка «Включить …», после чего устанавливаем при помощи чекеров нужные параметры работы.

***

Ideco ICS оставил приятное впечатление своей продуманностью, гибкостью, функциональностью, защищенностью и стабильностью в работе. Все настройки находятся под рукой и понятны даже новичку. В дальнейшем система будет исправно выполнять свою работу, снабжая админа подробной статистикой.

Теги:

Понравилась статья? Оставьте комментарий или подпишитесь на RSS рассылку.

Комментарии

Комментариев пока что нет

Оставить комментарий

(required)

(required)