Подключение устройств – Ideco UTM

Подключение устройств - Ideco UTM Сертификаты
На чтение 12 мин. Просмотров 5 Опубликовано
Содержание
  1. А что это вообще такое?
  2. Техническое описание ideco utm
  3. Почтовый сервер
  4. Основные возможности
  5. Блокировки и всевозможные ограничения
  6. Добавление внешнего интерфейса
  7. Контроль локального и удаленного доступа
  8. Отчеты и статистика
  9. Подключение устройств – ideco utm
  10. Преимущества ideco ics
  11. Развертывание и настройка
  12. Система предотвращения вторжений (ids)
  13. Создание пользователей
  14. Тест-драйв
  15. Удаленное подключение, виртуальные частные сети vpn
  16. Управление шлюзом: консоль
  17. Фильтрация контента и управление трафиком
  18. Выводы

А что это вообще такое?

В заголовок вынесен, пожалуй, самый первый вопрос, который возникает у незнакомых с продукцией Ideco пользователей. Ideco UTM 8 — это программный комплекс на основе Linux, предназначенный для глубокого анализа и фильтрации трафика, предотвращения вторжений, защиты пользователей сети от внешних угроз, а также для контроля приложений, организации безопасных удаленных подключений и защищенных VPN-каналов связи.

Продукт этот построен на основе модульной архитектуры, каждый элемент которой выполняет собственный набор функций. Имеется возможность включать и отключать модули по мере необходимости, а также, естественно, управлять их настройками в довольно широких пределах. Весь спектр возможностей Ideco UTM 8 можно объединить в группы следующим образом.

Техническое описание ideco utm

Защита от несанкционированного доступа и внешних угроз

Межсетевой экран; Защищает корпоративную сеть от атак извне. Правила можно применять как для всей сети и отдельных подсетей, так и для отдельных пользователей или групп, даже если у них используются динамические IP-адреса. Предустановленные правила позволяют обеспечить высокий уровень защиты даже без специальной настройки.
Защита от DoS-атак; Предустановленные правила по умолчанию настроены на защиту всех сетевых интерфейсов сервера от DoS-атак, MITM-атак, агрессивного, нелегитимного, неавторизованного и явно вирусного трафика с учетом его характерных особенностей.
Система обнаружения и предотвращения вторжений (IDS/IPS); Система блокирует попытки несанкционированного доступа, эксплойты, ботнеты, DoS-атаки, вирусную активность в сети, spyware, TOR, анонимайзеры, телеметрию Windows и скомпрометированные IP-адреса (с помощью обновляемой базы IP Reputation). Ведет журналирование инцидентов информационной безопасности и оповещает о них администратора сети.
Контроль приложений (Application Control, DPI); Возможность управлять доступом к различным приложениям: Skype, мессенджерам, torrent-клиентам и другим (более 200 приложений).
Межсетевой экран уровня веб-приложений Web Application Firewall; Защита опубликованных веб-приложений от сканирования на уязвимости, SQLi, XSS, DoS и других атак с помощью анализа запросов к сайту.
Защита от подбора паролей к сервисам (brute force);Специальная служба блокирует brute force атаки (попытки подбора паролей и многократные подключения к сервисам) на сервисы SSH, SMTP, IMAP, POP3, веб-почту, VPN-сервер и доступ в административный веб-интерфейс UTM.
Интеграция с другими решениями;По протоколу ICAP со сторонними DLP-системами, антивирусами и системами контентной фильтрации. Интеграция с SIEM (по протоколу syslog), с системами мониторинга (по SNMP).

Почтовый сервер

Ideco ICS — это не только шлюз с возможностью интеграции с Active Directory. Продукт, помимо всего прочего, содержит еще и встроенный почтовый сервер, настроить который можно в разделе «Сервер > Почтовый сервер» (рис. 20).

Рис. 20. Почтовый сервер
Рис. 20. Почтовый сервер

В этом же разделе есть ссылка на документацию, позволяющую настроить почтовик на твоем предприятии.

Основные возможности

Возможности Ideco ICS:

Блокировки и всевозможные ограничения

Все, что настраивалось до этого момента, можно довольно быстро настроить на любом Linux/FreeBSD-сервере. А вот сейчас начинается самое интересное. Перейди в раздел «Сервер», «Контент-фильтр». Здесь можно выбрать, какой именно контент будет блокироваться сервером.

Так, в категории «Блокировка файлов» (рис. 17) показаны типы файлов, подлежащие блокировке. А в категории «Стандартные» можно заблокировать VPN (блокируются все популярные VPN-службы и программы в любых исполнениях), торренты, веб-прокси, сайты с контентом для взрослых и прочее.

Рис. 17. Блокировка файлов по типу
Рис. 17. Блокировка файлов по типу

Настройка подобного контент-фильтра вручную займет определенное время. С помощью Ideco ICS можно выполнить блокировку необходимых ресурсов за пару щелчков мыши. При этом тебе не нужно настраивать ни файрвол, ни прокси.База стандартного контент-фильтра содержит 34 категории трафика и более чем 900 тысяч URL, а расширенного еще больше — 143 категории и 500 миллионов URL.

Про сертификаты:  Сертификация воды – Как получить сертификат на бутилированную питьевую воду

Обе базы регулярно обновляются и поддерживаются в актуальном состоянии. Кроме возможности блокировки по типам сайтов, эти же базы позволяют категоризировать веб-отчетность по потреблению пользователями трафика. Другими словами, можно будет понять, сколько часов сотрудники тратят на работу, а сколько — на развлечения или собственные интересы в рабочее время.

Добавление внешнего интерфейса

Чтобы добавить внешний интерфейс, нужно перейти в раздел «Серверы > Интерфейсы», выбрать роль интерфейса «Внешний», ввести его название и установить сетевые параметры. Обрати внимание, что можно установить IP-адрес для проверки связи (можно использовать сервер Google — 8.8.8.8), а также выбрать резервный интерфейс, если он есть. Если имеется два внешних интерфейса, то для основного нужно установить переключатель «Основной».

Рис. 11. Добавление внешнего интерфейса
Рис. 11. Добавление внешнего интерфейса

Контроль локального и удаленного доступа

Если в сетевой инфраструктуре используется контроллер домена, можно настроить авторизацию и синхронизацию пользователей Ideco UTM с Active Directory и LDAP-сервером, в том числе сразу с несколькими доменами в сети. Кроме того, в Ideco UTM есть куча возможностей для управления VPN-подключениями.

Отчеты и статистика

Раздел «Отчеты» позволяет просмотреть и экспортировать различную статистическую информацию. Доступен экспорт отчетов в форматах HTML, CSV, XLS. Формат CSV удобен для последующего анализа отчетов в других программных продуктах.

Рис. 23. Экспорт отчетов
Рис. 23. Экспорт отчетов

Дополнительную информацию можно получить в обзоре от разработчиков Ideco:

Шлюз безопасности Ideco ICS — уникальное предложение на российском рынке UTM-решений: современный продукт, обеспечивающий разностороннюю защиту от сетевых угроз и при этом практически не требующий настройки. Развертывание данного решения занимает считаные минуты, а на выходе получаем полноценный шлюз со всевозможными функциями — от защиты и блокировки до поддержки Active Directory и развернутой отчетности.

Подключение устройств – ideco utm

При настройке сторонних устройств необходимо явно указать криптоалгоритмы, используемые для подключения. Ideco UTM поддерживает самые современные и одновременно достаточно безопасные алгоритмы, не нагружающие сервер и устройства. При этом, не поддерживаются устаревшие и считающиеся небезопасными алгоритмы (MD5, SHA1, AES128, DES, 3DES, blowfish и др.). При конфигурировании сторонних устройств, как правило, можно указать несколько поддерживаемых алгоритмов одновременно. По факту, нужен один алгоритм каждого вида. К сожалению, не все устройства поддерживают самые лучшие алгоритмы, поэтому Ideco UTM поддерживает сразу несколько. Список алгоритмов каждого вида указан ниже в порядке убывания приоритета для выбора.

Преимущества ideco ics

Основные фишки Ideco ICS:

  • Изначально все модули, службы, правила файрвола и контентной фильтрации настроены для обеспечения максимальной защиты сети и сервера.
  • Многие настройки нельзя изменить, то есть систему не получится настроить небезопасно, даже при всем своем желании или неопытности.
  • Простота настройки.
  • Поддержка интеграции с Active Directory.
  • Все пользователи и устройства должны быть обязательно авторизованы для выхода в интернет. Неавторизованный трафик запрещен, что позволяет всегда получать статистику по использованию интернета пользователями и устройствами.
  • Отечественные базы контентной фильтрации (расширенного контент-фильтра), более релевантные для российского интернет-сегмента, чем западные базы.
  • Полностью российское решение, включая базы фильтрации контента, антивирусов (антивирус Касперского, см. рис. 19), системы предотвращения вторжений (базы собственной разработки).
  • Блокировка попыток обхода системы контентной фильтрации (анонимайзеров), включая популярные плагины к браузерам, Opera VPN, Яндекс.Турбо.
  • Удобная система отчетности.
Рис. 19. Доступные антивирусы. Антивирус Касперского «из коробки»: просто добавь лицензию
Рис. 19. Доступные антивирусы. Антивирус Касперского «из коробки»: просто добавь лицензию

Развертывание и настройка

Для установки Ideco UTM необходим сервер c UEFI, оснащенный процессором x86/64 с поддержкой SSE 4.2, 8 Гбайт оперативной памяти и 60 Гбайт на диске. Предустановленной операционной системы не требуется: Ideco UTM располагает собственным ядром Linux (5.4.17) и загрузчиком.

Про сертификаты:  Сертификация легкой промышленности

Установка Ideco UTM не представляет особой сложности. Инсталлятор предложит выбрать жесткий диск, на который будут скопированы файлы, предупредит о том, что вся информация в этом разделе будет уничтожена. Далее пользователю предстоит выбрать временную зону, подтвердить текущее время, а также указать сетевой интерфейс для локального подключения.

Установка Ideco UTM 8.0
Установка Ideco UTM 8.0

Система предотвращения вторжений (ids)

Ideco ICS «из коробки» оснащен системой предотвращения вторжений (IDS), которая позволяет еще и блокировать анонимайзеры. Для настройки IDS нужно перейти в раздел «Безопасность > Предотвращение вторжений» и включить IDS/IPS (рис. 21).

Рис. 21. Включение системы предотвращения вторжений
Рис. 21. Включение системы предотвращения вторжений

Вкладка «Правила» позволяет определить группы правил IDS (рис. 22). Именно здесь можно включить/выключить блокировку Opera VPN, анонимайзеров, атак и прочего.

Рис. 22. Правила IDS
Рис. 22. Правила IDS

Для работы IDS нужно минимум 8 Гбайт оперативки на сервере.В числе возможностей — функции, обычные для системы предотвращения вторжений (блокировка атакующих, ботнетов и поиск опасных сигнатур в трафике), но, кроме того, система позволяет блокировать трафик по базе IP Reputation и GeoIP, без его глубокого анализа (что ускоряет фильтрацию трафика и повышает устойчивость к DoS- и DDoS-атакам), а также блокировать телеметрию Windows (функции слежения за пользователями данной операционной системы, что не делают продукты других вендоров).

Создание пользователей

В разделе «Пользователи» нужно первым делом выбрать тип авторизации (рис. 16). В самом простом случае можно выбрать авторизацию по IP. Этот вариант подойдет для небольшой сети, когда понятно, кто есть кто, а также в случаях, когда нужно быстро развернуть шлюз для доступа к интернету, а полноценная настройка еще предстоит в будущем.

Рис. 12. Создание группы
Рис. 12. Создание группы

Тест-драйв

Для тестирования Ideco UTM я развернул программный комплекс на виртуальном сервере и настроил его в качестве шлюза. Чтобы проверить, что система вообще работает, добавляем в «черный список» URL нашего любимого журнала и пробуем открыть его в браузере. Опа, доступ запрещен!

Проверка работоспособности: фильтр контента работает
Проверка работоспособности: фильтр контента работает

Пробуем запустить Tor Browser: программа не может установить соединение с Tor-сетью и отваливается по тайм-ауту. Аналогично с TeamViewer: значок статуса связи горит красным, следовательно, контроль приложений также успешно блокирует нежелательное соединение.

Для этого я использовал Check Point CheckMe — бесплатный сервис проверки уровня защищенности межсетевого экрана. Достаточно зайти на страничку сервиса, запустить сканирование и дождаться результатов. Служба пытается загрузить на компьютер тестовый файл EICAR, чтобы проверить антивирусную защиту, а также имитирует различные виды атак с использованием уязвимостей ПО, тестирует возможность доступа к вредоносным сайтам, исследует открытые порты. Вот с каким результатом завершился этот тест.

Тест Check Point CheckMe показывает степень защищенности системы
Тест Check Point CheckMe показывает степень защищенности системы

CheckMe показал, что сеть защищена от вредоносного ПО и уязвимостей нулевого дня, но беззащитна перед эксплуатацией уязвимостей браузера и утечками данных. Впрочем, напомню, что в настройках Ideco UTM у меня подключена функция предотвращения вторжений и фактически не настроен брандмауэр. Возможно, с этими двумя модулями степень защищенности была бы намного выше.

Теперь обратимся к альтернативному сканеру HackerWatch. Он ищет открытые порты, которые могут быть потенциально уязвимы к вторжению извне. Результат проверки показан на иллюстрации ниже.

Результат проверки системы сканером HackerWatch
Результат проверки системы сканером HackerWatch

Тест демонстрирует, что сканеру не удалось достучаться до машины и весь подозрительный трафик был заблокирован, даже несмотря на то что мы не занимались настройкой файрвола. Кроме того, существует тест безопасности от самой компании Ideco, который в основном проверяет доступность сайтов из списков контентного фильтра: анонимайзеры, онлайн-казино, порно и так далее.

Удаленное подключение, виртуальные частные сети vpn

Интеллектуальный QoS. Интеллектуальная приоритезация трафика по скорости и типу, резервирование полосы пропускания для важных приложений, возможность расставлять приоритеты вручную. Равномерное распределение канала между пользователями и между приложениями.

DHCP-сервер. Автоматическое распределение IP адресов в локальной сети. Возможность фиксированной привязки IP к MAC адресу компьютера. Возможность выдавать DNS и WINS для DHCP клиентов. Встроенный WINS сервис делает удобной и быстрой работу с сетевым окружением в локальной сети. Возможность выдавать маршруты для DHCP клиентов. Возможность указания разных диапазонов на разных интерфейсах и VLAN.

Про сертификаты:  Сертификация одежды для детей и взрослых в 2021 — ЦС Сфера

Полноценный маршрутизатор, поддерживающий множество интерфейсов (как локальных, так и внешних). Поддерживаются виртуальные 802.1q VLAN интерфейсы, PPTP, L2TP, PPPoE и OpenVPN интерфейсы. Возможность указать маршруты по источнику.

Управление шлюзом: консоль

Перезагружаемся (рис. 4). Если присмотреться, то видно, с использованием каких компонентов построен Ideco: суперсервер xinetd, bind DNS server, nginx, Squid, KLMS и другие.

Рис. 4. Загрузка Ideco ICS
Рис. 4. Загрузка Ideco ICS

Для доступа к консоли шлюза нужно ввести пароль servicemode. Меню управления шлюзом показано на рис. 5. Команды меню:* Мониторинг сервера — отображает информацию о загрузке процессора, использовании памяти и диска (рис. 6).* Мониторинг сети — информация об использовании сети (bmon).

* Сетевые параметры — здесь можно изменить IP-адрес и маску шлюза, а также просмотреть текущую конфигурацию сети (рис. 7).* Резервные копии БД — средство создания резервных копий базы данных, здесь же можно восстановить БД из резервной копии.

* Консоль — полноценная консоль, в которой можно делать все, что хочется. Лично я первым делом посмотрел, сколько места заняла установка. Чуть более 3,2 Гбайт (рис. 8).* Сервис — открывает подменю, где можно установить IP-адрес администратора, отключить правила firewall, разрешить интернет всем и вся, разрешить доступ к серверу по SSH, сбросить пароль администратора.

Рис. 5. Меню управления шлюзом
Рис. 5. Меню управления шлюзом

Фильтрация контента и управление трафиком

Что такое родительский и офисный контроль, знает, наверное, каждый родитель или работник офиса. В Ideco UTM есть аналогичная функция, позволяющая блокировать веб-контент согласно выбранным администратором категориям — всего их 144. Как и другие похожие решения, фильтр контента здесь использует базу данных, включающую более 500 миллионов URL «нерекомендуемых» веб-сайтов.

Выводы

Программный комплекс Ideco UTM показался мне довольно интересным решением по двум причинам. Прежде всего — из-за концепции «все в одном»: не нужно устанавливать и настраивать кучу разношерстных модулей, все самые необходимые инструменты здесь собраны воедино.

Второй плюс — удобство администрирования: веб-панель довольно наглядная и простая даже для новичков, ключевые настройки снабжены подсказками, причем на русском языке. Ну а наличие бесплатной версии Ideco UTM для SMB позволяет развернуть шлюз безопасности в сетях с Linux-сервером и пользоваться всеми преимуществами коммерческого релиза без каких-либо ограничений.

Демонстрируемый Ideco UTM уровень защиты вполне приемлем для программных комплексов такого уровня, но в целом зависит от настроек. А поскольку настроек много, можно превратить шлюз фактически во что угодно: в прокси-сервер, VPN-сервер, файрвол, средство офисного контроля, балансировки и мониторинга трафика, даже в веб-антивирус.

Тех, кто раньше уже имел дело с Ideco UTM, наверняка порадуют новинки восьмой версии: обновленный интерфейс администратора, новая реализация блокировки и резервирования каналов, построение маршрутов с указанием объектов по источнику, возможность менять правила файрвола на лету без разрыва текущих соединений.

Ну и появившийся в веб-интерфейсе терминал добавляет в арсенал админа еще один полезный инструмент. Дополнительно радует возможность обратится в тех-поддержку с помощью чата прямо из веб-интерфейса Ideco UTM, что уже привычно для пользователей, но среди межсетевых экранов реализовано пока только у Айдеко.

К минусам я бы отнес довольно высокие требования шлюза к железу. Из-за того что системе предотвращения вторжений требуется 8 Гбайт оперативной памяти, я не смог запустить и протестировать этот сервис. Требование к наличию EFI накладывает дополнительные ограничения на выбор железа и исключает установку Ideco UTM на какой-нибудь престарелый сервер.

Ideco ICS 6 ФСТЭК купить Ideco ICS 6 ФСТЭК цена Ideco ICS 6 ФСТЭК
Оцените статью
Мой сертификат
Добавить комментарий

© 2025 Мой сертификат