- Введение
- Сравнение актуальных интернет шлюзов
- Настройка VPN в Интернет Контроль Сервер | VPN сервер для офиса | ИКС
- Описание схемы тестовой сети и логики работы сети.
- Настройка сетевых подключений
- Настройка VPN на сервере ИКС
- Настройка VPN-подключения на клиентской машине
- Настройка RDP на удаленном клиентском компьютере
- Подключение к удаленному рабочему столу через VPN
Введение
Руководство по настройке и администрированию интернет-шлюза «Интернет Контроль Сервер» разработано для системного администратора государственного автономного профессионального образовательного учреждения Свердловской области «Ирбитский гуманитарный колледж» (ГАПОУ СО ИГК).
В руководстве рассматриваются следующие задачи, решаемые системным администратором ИКС:
«Интернет контроль сервер» (ИКС) — это интернет-шлюз на базе операционной системы FreeBSD. Российское UTM-решение: защита сети, прокси, встроенный антивирус, фильтрация контента по спискам Минюста. Контроль доступа и учет трафика. Почта, ftp-, web- и jabber-сервер, модуль IP-телефонии. «Интернет Контроль Сервер» многофункциональное решение сочетающее в себе более 80 функций.
Разработку, внедрение и поддержку программного межсетевого экрана осуществляет ООО «А‑Реал Консалтинг». «А-Реал Консалтинг» — отечественный разработчик в сфере информационных технологий с большим опытом работы на ИТ-рынке. Компания предоставляет современные информационные технологии и широкий спектр коммуникационного оборудования, помогая повысить эффективность информационной безопасности.
Интернет-шлюз — как правило, это программное обеспечение, призванное организовать передачу трафика между разными сетями. Программа является рабочим инструментом системного администратора, позволяя ему контролировать трафик и действия сотрудников.
Обычно Интернет-шлюз позволяет распределять доступ среди пользователей, вести учёт трафика, ограничивать доступ отдельным пользователям или группам пользователей к ресурсам в Интернет. Интернет-шлюз может содержать в себе прокси-сервер, межсетевой экран, почтовый сервер, шейпер, антивирус и другие сетевые утилиты. Интернет-шлюз может работать как на одном из компьютеров сети, так и на отдельном сервере. Шлюз устанавливается как программное обеспечение на машину с операционной системой, либо на пустой компьютер с развертыванием встроенной операционной системы.
Также под шлюзом часто понимается IP-адрес машины, через которую организован доступ в интернет.
Сравнение актуальных интернет шлюзов
Информационная безопасность — не просто модный тренд, а реальная ИТ-задача, с которой столкнулись уже больше 90 % коммерческих и образовательных организаций в России.
На смену традиционному брандмауэру приходят комплексные решения, включающие Application Firewall, модули защиты от вирусов и спама, сервисы IDS/IPS, систему контроля и учета трафика.
Настройка VPN в Интернет Контроль Сервер | VPN сервер для офиса | ИКС
В одном из прошлых видео я уже рассказывал про межсетевой экран Интернет Контроль Сервер. Если кратко, то его основной функцией является контроль над действиями пользователей в глобальной сети, а также организация защиты вашей локальной сети от различных интернет угроз.
Так вот, ранее мы рассмотрели его базовые настройки в локальной сети, чтобы вы могли подключить пользователей через ИКС к интернету и мониторить их взаимодействие с сетью Интернет.
Сегодня давайте разберемся в настройках VPN, так как сейчас практически каждая компания так или иначе переводит сотрудников на удаленную работу и поэтому стоит учесть все нюансы по реализации как удобного, так и безопасного способа работы сотрудников с ресурсами компании.
Прошлое видео «Базовая установка и настройка ИКС» — https://www.youtube.com/watch?v=oTIxjfaxHX8
В данном видео мы создадим тестовый полигон для тестирования и настройки ИКСа таким образом, что это позволит вам тестировать любые подобные технологии без необходимости иметь удаленный сервер. Все это мы сделаем в домашних условиях, а принцип работы будет аналогичен взаимодействию через сеть Интернет.
В прошлом видео мы выполнили установку и базовую настройку программы Интернет Контроль Сервер. Если вкратце, то мы:
- — скачали ISO дистрибутив программы (кстати, ссылки на скачивание вы также сможете найти в описании к данному видео)
- — создали виртуальный сервер для тестирования
- — установили на него ИКС
- — настроили внешнее и внутреннее сетевое подключение
- — настроили клиентскую станцию для выхода в интернет через шлюз безопасности Интернет Контроль Сервер
Что мы будем делать в данном видео:
- — разберем схему сети, которая позволит в домашних условиях тестировать интернет технологии, в частности VPN
- — перенастроим сервер и клиентскую машину под нужную схему сети
- — настроим VPN на сервере ИКС
- — создадим VPN подключение на удаленной машине
- — настроим RDP доступ к клиентской рабочей станции
- — и протестируем RDP подключение с удаленной машины к клиентскому компьютеру через VPN подключение.
И тут самое главное, чтобы вы поняли принцип работы подобного полигона, так что попытайтесь внимательно вникнуть в логику построения подобной тестовой сети.
Описание схемы тестовой сети и логики работы сети.
В боевых условиях Интернет Контроль Сервер настраивается следующим образом. Есть два сетевых подключения, одно из которых имеет доступ к внешней сети, т.е. к сети интернет, а второе внутреннее и смотрит в локальную сеть. Таким образом все взаимодействие рабочих компьютеров с внешней сетью выполняется через Интернет Контроль Сервер.
В данном случае, чтобы удаленному сотруднику получить доступ к ресурсам локальной сети из сети Интернет, нам необходимо поднять и настроить на ИКС службу VPN. Создать VPN подключение на удаленном клиентском компьютере, через которое он будет подключаться к изолированной офисной сети.
В домашней сети, тестовая схема будет выглядеть следующим образом.
Предполагается, что у нас есть домашний роутер, который раздает сеть как физически подключенным устройствам, так и через сеть Wi-Fi.
На компьютере, на котором будем выполнять тестирование, мы создаем виртуальную изолированную сеть, в рамках которой, виртуальные машины обмениваются информацией друг с другом. Второе сетевое подключение ИКСа, будет подключаться также к нашему роутеру. Конечно физически мы её не сможем подключить к нашей сети, так как это виртуальная сетевая карта, но с точки зрения работы сети, все будет выглядеть аналогично, как если бы мы подключили её физически к роутеру. Не смотря на то, что проброс пакетов идет через HOST систему.
Так вот, в данном случае наша домашняя сеть для ИКСа будет как сеть интернет, а виртуальная, как офисная сеть. И получается, для того, чтобы нам протестировать доступ через VPN, нам нужно с любого из компьютеров нашей физической сети, получить доступ к виртуальной изолированной сети через внешнее сетевое подключение Интернет Контроль Сервера.
И такая схема абсолютно аналогична логике работы в боевых условиях, так что так можно тестировать различные технологии, требующие подключения из внешней сети. Но в данном случае, внешней сетью будет являться наша физическая сеть.
Ну, надеюсь, что логику вы уловили, так что перейдем к практике.
Выбрал я именно такие настройки внешней сети, так как скорее всего ваш домашний роутер выдает IP адреса, начинающиеся на 192.168.0.х, таким образом у нас настройки будут максимально приближены к вашим условиям.
Поэтому, чтобы сервер ИКС начал работать корректно, а клиентская машина, к которой мы будем подключаться через RDP, получала доступ к сети интернет, нужно будет выполнить следующие настройки.
Настройка сетевых подключений
Подключаемся к веб-консоли управления Интернет Контроль Сервера (Браузер \ https://192.168.1.50:81/ \ логин:root \ Пароль: )
Проверим, соответствуют ли сетевые настройки ИКС и клиентской машины тем, которые я указал ранее.
Проверим связь ИКС с внешней сетью (Сеть \ Сетевые утилиты \ Пинг \ Запустить)
Настройка VPN на сервере ИКС
Добавим пользователя, который будет авторизоваться на VPN сервере (Пользователи и статистика \ Пользователи \ Добавить \ Пользователь \ VPN_Anton_Sev \ Логин: VPN_Anton_Sev \ Пароль: )
Добавим VPN сеть (Сеть \ Провайдеры и сети \ Добавить \ Сети \ VPN-сеть \ Название: Office-VPN \ IP-адрес: 192.168.2.1/24, из данной подсети у нас будут получать IP адреса VPN соединения. Я указал сеть отличную от локальной, чтобы не было конфликтов адресов, далее ИКС будет их маршрутизировать в нашу локальную сеть \ Оставляем протокол L2TP \ L2TP IPSec \ Ключ: \ Добавить)
Разрешаем созданному пользователю подключаться к VPN серверу (Сеть \ VPN \ Пользователи \ VPN_Anton_Sev \ Галочка VPN-доступ \ Сохранить)
Настройка VPN-подключения на клиентской машине
Сейчас мы перейдем на мою физическую машину и по сути, мне нужно создать VPN соединение, через которое я смогу из своей физической сети получить доступ к виртуальной, точно так же, если бы вы пытались получить доступ из своей домашней сети в сеть компании (Пуск \ Параметры ПК \ Сеть и Интернет \ VPN \ Добавить VPN подключение \ Поставщик услуг VPN: Windows (встроенные) \ Имя подключения: Office-VPN \ Имя или адрес сервера: 192.168.0.5 \ Тип VPN: L2TP/IPsec с общим ключом \ Общий ключ: \ Тип данных для входа: Имя пользователя и пароль \ Имя пользователя: VPN_Anton_Sev \ Пароль: )
Подключаемся к VPN-сети (Пуск \ Параметры ПК \ Сеть и Интернет \ VPN \ Office-VPN \ Подключиться \ Подключено)
Проверяем текущее соединение в (Сеть \ VPN \ Текущие сеансы \ VPN подключение VPN_Anton_Sev и тут же отображается какой IP адрес был назначен этому подключению. Как вы видите, этот адрес из той же подсети, которую мы указали для VPN соединений)
Настройка RDP на удаленном клиентском компьютере
Настраиваем удаленный рабочий стол, для подключения через VPN к рабочему месту через RDP (Этот компьютер \ Свойства \ Настройка удаленного доступа \ Разрешить удаленные подключения к этому компьютеру \ Электропитание \ Настройка схемы электропитания \ Переходить в спящий режим: Никогда \ ОК \ ОК)
Настройка пользователей имеющий удаленный доступ к компьютеру (Выбрать пользователей \ Добавить, если вы хотите добавить какого-то другого пользователя, если пользователь один user1, то он уже имеет удаленный доступ, о чем говорится в сообщение над кнопкой «Добавить»)
Так же, для подключения через RDP к рабочей станции, для учетной записи, под которой мы будем подключаться обязательно должен быть указан пароль, иначе подключиться не получится (Этот компьютер \ ПКМ \ Управление \ Локальные пользователи \ Пользователи \ user1 \ ПКМ \ Задать пароль: )
Подключение к удаленному рабочему столу через VPN
Выполняем подключение через ранее созданное VPN-соединение (Пуск \ Параметры ПК \ Сеть и Интернет \ VPN \ Office-VPN \ Подключиться \ Подключено)
Подключаемся через RDP к удаленному рабочему столу (Пуск \ Программы \ Стандартные \ Подключение к удаленному рабочему столу \ Компьютер: 192.168.1.10 \ Пользователь: user1 \ Пароль: \ ОК)
Ну вот и все, теперь мы подключились к удаленному рабочему столу сотрудника через защищённое VPN подключение. Если попробуем отключить VPN-соединение, то RDP соединение тоже пропадет.
И таким образом можно тестировать различные интернет технологии, так как логика работы будет такая же, вам просто нужно будет из физической сети получить доступ к виртуальной!
При таком соединение, весь трафик будет идти через VPN подключение. Т.е. если вы параллельно на своем домашнем компьютере пользуетесь социальными сетями, то весь трафик будет идти через VPN и если там настроены определенные правила, запрещающие работу в социальных сетях, то вы ими пользоваться не сможете.
Чтобы это отключить, можно сделать следующее (Параметры сети и Интернет \ Центр управления сетями и общим доступом \ Изменение параметров адаптера \ Office-VPN \ ПКМ \ Свойства \ Сеть \ IP версии 4 \ Свойства \ Дополнительно \ Убираем галочку «Использовать основной шлюз в удаленной сети»)
В итоге, мы настроили межсетевой экран Интернет Контроль Сервер и подняли на нем службу VPN, благодаря чему, сотрудники компании теперь могут безопасно подключаться к вашей офисной сети из любой точки мира!
Также в ИКСе предусмотрены различные предустановленные службы для обеспечения безопасности, такие как:
— защита от проникновения вредоносных программ
— блокировка вредоносных сайтов до их открытия
— антивирусная проверка интернет трафика и электронной почты
— блокировка IP-адресов ведущих себя подозрительно и многое другое
Более подробную информацию о возможностях Интернет Контроль Сервера вы сможете найти на официальном сайте. Кстати, совсем скоро состоится релиз новой версии ИКСа, в которой разработчики анонсировали ряд новых фишек в модуле VPN. Так что, следите за новостями и будьте в числе первых, кто протестирует 9 версию Интернет Контроль Сервера.