Интернет контроль настройка сети

Интернет контроль настройка сети

Интернет Контроль Сервер. Шлюз безопасности №1 в России. Рили?

Друзья мои, задумывались ли вы когда-нибудь над тем, какие устройства в будущем облегчат жизнь рядовым сисадминам? Таксистам со дня на день придут на выручку беспилотные автомобили, у учителей уже давно есть сайты дистанционного обучения, а что послужит подспорьем, так называемым эникейщикам? До пандемии, руководители средних и малых компаний особо сильно не горели желанием как-то реорганизовывать корпоративную сеть исходя из соображений «Работает – не трогай».

Однако спустя время, многие всерьёз начинают подумывать о том, чтобы модернизировать теряющую актуальность структуру, докупив в помощь своим айтишникам волшебную UTM’овскую коробочку способную взять на себя энную часть их насущных задач. К большому сожалению, подобные решения «под ключ», приживаются в наших конторах прямо ну ооочень туго. Вернее, приживаются то они на ура. Вопрос лишь в том, чтобы объяснить руководству нафига оно вообще нужно.

Понятно, что вы как опытный сетевик понимаете важность защиты от внешнего проникновения, пользу антивируса, подключения через прокси и наличие защищённого VPN-канала для удалённой работы сотрудников. Однако руководство, мало понимает для чего нужна вся эта история, пока дело не доходит до реально критической точки, и по старой закалке решает проблемы по мере их поступления.

На сервере появляется шифровальщик? Все плачут, но в итоге восстанавливаются с копии и закупают нормальный антивирус. Скорость инета хромает, т.к. секретарша босса постоянно пялит видяшки в ютубе? Печально, конечно, зато появляется повод расширить канал. Вышестоящее начальство нагибает за то, что трафик с персональными данными никак не шифруется? Значит топаем ковырять фаервол.

И так во всём. Я много лет проработал админом в учебном заведении и там основным гемором был вопрос фильтрации неугодного Минюсту контента. В итоге, мы тупо пришли к технологии белого списка. Т.е. интернет, по сути, закрыт, как в Китае, а для того, чтобы поработать с каким-то сайтом преподу приходилось за день до урока подходить к IT’шникам и ставить их в известность.

Ресурс проверялся на добропорядочность, затем заносился в вайт лист и только после этого студенты могли нормально с ним поработать. Однако учитывая перелинковки, система работала, мягко говоря, не айс. В итоге они, уже после моего ухода, вроде как купили отдельный дорогущий прокси-сервер со встроенным фильтром, но смысл то вовсе не в этом. Зачем спрашивается все эти дополнительные расходы на кучу различных сервисов?

Ведь в современных сетях, всё давным-давно уже решается посредством одной бодрой железки с хорошим софтом. Да, я согласен, что ценник на решения зарубежных вендеров аля Cisco в этом вопросе изрядно кусается. Да к тому же, там ещё нужно и запас знаний не хилый иметь, чтобы всё это дело нормально настроить. Но ведь есть же и наши решения, которые ничуть не хуже могут справляться с самыми нужными функциями.

Одним из таких решений в линейке отечественных UTM’ок является ИКС. Сей гэтэвэй, мне уже много лет на различных олимпиадах нахваливали админы из институтов и колледжей. Именно поэтому, захотев сделать цикл обзоров на шлюзы, я решил начать именно с него. Во-первых, это одно из немногих решений, которое распространяется без подписки. Терпеть не могу софт, который дорабатывают только для вида, да ещё и дерут деньги за его якобы совершенство.

Читайте также:  При переустановке винды нет интернета

Во-вторых, у ИКCа заявлена 35 дневная полнофункциональная демо-версия. Мне, как обзорщику, такой расклад прям по душе. Потому что за 3 дня у меня никогда не получается что-то протестить и вечно приходится либо откатывать виртуалку, либо переставлять софт. Ну и плюс у этих ребят, как потом выяснилось отличная техподдержка, которую мне даже удалось развести на небольшие плюшки для вас. Но об этом чуть позже. А сейчас, давайте уже перейдём к практической части обзора. Погнали.

Установка Интернет Контроль Сервер (ИКС)

Шаг 1. С загрузкой и установкой всё просто. На офф. сайте программы ищем соответствующий пункт меню и заполнив данные о себе скачиваем нужную редакцию. В принципе, можно было бы воспользоваться Онлайн-демкой, но я хочу попробовать сделать этот обзор в формате летс-плея, без всяких инструкций и посмотреть, насколько трудно будет поднять сервак ИКСа на виртуалке среднестатистическому админу.

internet control server 1

Шаг 2. После загрузки заряжаем ISO в гипервизор и создаём виртуалку. Если вы хоть раз имели дело с виртуальной машиной, то никаких проблем на этом этапе у вас не возникнет. Единственный нюанс – обязательно указать в типе ОС – FreeBSD, ибо в ИКС под капотом находится именно фриха.

internet control server 2

Шаг 3. Окей. Погнали по установке. Она представляет собой классический цикл «Далее — Далее». Ошибиться трудно. Главное не затупить на моменте конфига сетевой карты и правильно настроить данные, с помощью которых в дальнейшем будем заходить на веб. морду.

internet control server 3

Шаг 4. После перезагрузки, я почему-то увидел это сообщение, вместо информации о том, по какому IP-адресу и порту предстоит подключаться для дальнейшей настройки. Странное решение, честно говоря. Быть может это сделано из соображений безопасности, но в любом случае это не user-friendly.

internet control server 4

Шаг 5. С горем пополам я нарыл на офф. сайте инфу про нужный порт и узрел наконец-таки поле авторизации. Классический root – root не подошёл. Admin-adminтоже не сработал. Пришлось снова курить инфу на первоисточнике. Видимо это сделано из тех же соображений, что ленивый админ не сменит стандарт, и даже минимальная безопасность в таких вещах превыше всего.

internet control server 5

Шаг 6. Ура. Вся предустановочная прелюдия закончилась, и мы наконец-то зашли в интерфейс. Первым делом топаем в Мастер настройки сети, чтобы указать какая сетевуха будет смотреть в сеть, а какая во внешний мир.

internet control server 6

Добавление пользователя в ИКС

Шаг 7. В принципе, после этого можно уже приступать к детальным настройкам шлюза. Функций тут хватает, поэтому давайте попробуем настроить только те базовые вещи, которые актуальны сегодня практически в каждой конторе. Например, функция прокси-сервера для контроля интернет-трафика. Это прям маст-хэв. Создадим пользователя.

internet control server 7

Шаг 8. Присвоим ему имя, пусть будет Анна Иоановна. И краткое описание, к примеру, номер рабочего кабинета. «Добавить».

internet control server 8

Шаг 9. Далее проваливаемся в настройки юзверя и на вкладке IP/MAC прописываем данные клиентской тачки.

internet control server 9

Шаг 10. Этот же IP’шник присваиваем рабочей станции и в свойствах браузера указываем адрес и порт прокси-сервера.

Читайте также:  Мегафон модем нет интернета страница мегафон

internet control server 10

Шаг 11. Временно оффнем межсетевой экран для проверки соединения.

internet control server 11

Шаг 12. Пробуем выйти в инет с клиентской машины. Есть контакт.

internet control server 12

Контент-фильтрация в ИКС

Шаг 13. Общий принцип работы понятен и пока он мало чем отличается от конкурентных продуктов в нише, с которыми мне доводилось работать ранее. Давайте посмотрим, насколько круто данный сервер умеет фильтровать трафик.bК примеру, давайте представим, что наша Анна Иоановна препод и ребёнку случайным образом удалось попасть за её комп на перемене. Сработает ли фильтр в поиске на его недвусмысленный запрос? Сейчас проверим. Для активации контент-фильтра добавляем пользователю соответствующее правило.

internet control server 13

Шаг 14. И до кучи ещё накидаем наборы для школ и поисковиков. Пусть уж отфильтрует по полной.

internet control server 14

Шаг 15. Сам модуль фильтра включается на вкладке «Безопасность». Врубаем его.

internet control server 15

Шаг 16. По идее всё уже должно отрабатывать. Пробуем ввести какую-нибудь жесть.

internet control server 16

Шаг 17. Мммда. Хороший фильтрик. Терь понятно, почему у нас молодёжь такая агрессивно настроенная и её ничем уже не удивишь. Но может это я просто криворукий и что-то недонастроил…

internet control server 18

Спустя час “курения” документации и различных видосов, я сделал отдельный сертификат, настроил перенаправление HTTPS, подцепил серт на клиентскую тачку, ребутнул всё 10 раз. Потом ещё построил дом, посадил дерево, вырастил сына и только после этого фильтрация стала приемлемой. Но камооон, какие блин экспорты сертификатов, вы о чём? 2020 год на дворе. Всё должно фурычить прям из коробки. Тем более если это решение ориентированно на образовательные учреждения. Поверьте мне, далеко не в каждом учебном заведении есть полноценный IT отдел.

internet control server 17

А если он и есть в лице одного эникейщика, то его спектр обязанностей явно не подразумевает подобные танцы с бубном вокруг рабочих станций. Ведь вся эта история изначально закупается именно для облегчения задачи фильтрации, а не для создания дополнительных сложностей.

Настройка VPN-сервиса

Шаг 18. Общем ладно, возможно, я совсем обленился и придираюсь. Двигаем дальше. Что у нас ещё актуально в подобных программах помимо фильтрации? Давайте попробуем сконфигурировать VPN’ку для удалённой работы. Создадим для этой цели отдельного тестового пользователя.

internet control server 19

Шаг 19. Далее сконфигурируем сеть VPN.

internet control server 20

Шаг 20. Протокол L2TP с айписеком. Добавить.

internet control server 21

Шаг 21. На вкладке VPN разрешаем доступ нашему пользователю.

internet control server 22

Шаг 22. Затем переходим на клиентский компьютер и пробуем создать новое VPN-подключение.

internet control server 23

Шаг 23. Проверяем текущие сеансы в панели ИКС и убеждаемся, что подключение установлено успешно.

internet control server 24

Контроль приложений в ИКС

Шаг 24. Окей. Пока я разбирался с HTTPS’ным фильтром, наткнулся в документации на одну интересную фиху, которую раньше нигде не встречал. Контроль приложений через утилиту Xauth. Давайте затестим, как она работает в поле. Запускаем EXE на клиенте.

internet control server 25

Шаг 25. И по идее, если наш пользователь закреплён за машиной по IP-адресу, мы уже можем начать контролировать все запущенные приложения, взаимодействующие с сетью в соответствующем меню. Давайте попробуем заблокировать Хром.

internet control server 26

Шаг 26. Вуаля, теперь никакой трафик в браузере не проходит. Вполне себе годная тема, особенно когда требуется заблочить юзверю какой-нибудь торрент на время.

Читайте также:  Linux при подключении vpn пропадает интернет

internet control server 27

В целом, данное UTM решение покрывает большую часть тех задач, с которыми может сегодня столкнуться рядовой системный администратор на любом мало-мальски уважающем себя предприятии. Тут и прокси с детальным учетом трафика, и антивирусная защита, и всякие плюшки из разряда внутрисетевого веб-сервера. Можно настроить FTP, jabberи даже при желании полноценную IP-телефонию.

И заметьте. Это отечественный продукт. Не представительство на территории РФ, а конкретно разработка наших программеров. Причём судя по моим данным, разрабы действительно прислушиваются к комъюнити. До недавнего времени к ИКСу нельзя было подключиться по SSH. Что странно, учитывая, что под капотом у UTMки скрывается FreeBSD. В новых версиях этот косяк исправили. Вообще последнюю редакцию судя по данным на офф сайте существенно допилили.

В 7 версии появилась возможность создавать туннельчики с Cisco, Mikrotik и другими брендовыми сетевыми железками. OpenVPN, IPSec. Блин, я даже хотел затестить это дело в рамках обзора, но потом вспомнил, что лето и все знакомые из числа тех, кто мог бы дать на время погонять пару кисок разъехались по отпускам. Да в целом, это не так уж и важно. У ИКС есть вполне смотрибельный канал на ютубе с мануалами, в которых разжёваны практически все функции данного шлюза. Они, конечно, не такие весёлые, как мой контент, но для решения задач подходят вполне.

Ещё можно выносить мозг техподдержке. К моему удивлению, за неделю подготовки обзора ни один оператор из чата не послал меня в пеший сексуальный поход. Хотя вопросы я задавал, далеко не самые интеллектуальные. За это отдельный респект. С одним из сотрудников я даже настолько разговорился, что выбил скидочный промокод. Так что, если вы захотите приобрести ИКС для своей конторы, можете смело сказать начальнику, мол добазарились с менеджером на более выгодные условия.

А сами просто перейдёте по ссылке , либо же продиктуете менеджеру промокод «Hacking In Russian») и таким образом сэкономите десяток-другой долларов родной фирме. Но вообще, если офис небольшой, то вам за глаза хватит и бесплатной версии, имеющей ограничение до 10 пользователей. Это практически полноценный отдел, на котором можно тренироваться и попутно думать надо ли оно тут.

Друзья, на этом я завершаю первый обзор UTM’ки на данном канале. Он получился долгим. Временами скучным, но от этого не менее информативным. Надеюсь, вы поддержите данный формат, и мы продолжим обозревать отечественные решения в области безопасности локальных сетей. Хочется сделать прям серию обзоров на шлюзы. Причём в идеале программные. Ведь железо уже давно не прогрессирует так активно, как раньше. Постепенно наступает время, когда именно программные разработки будут представлять наибольший интерес.

И главное тут, быть в курсе нововведений и постоянно держать руку на пульсе. С вами был, Денис Курец. Благодарю, что осилили действительно серьёзный контент. Всем удачи, успеха и самое главное, отличного настроения. Берегите себя и свои сети. Заботьтесь об их безопасности. И не забывайте контролировать трафик несмышлёных юзверей. Ведь они порою, как дети, так и норовят залезть куда не следует, а отвечать за это предстоит нам.

Не допускайте подобных казусов. До новых встреч, камрады. Всем пока.

Источник

Оцените статью
Adblock
detector