ПРОГРАММНЫЙ КОМПЛЕКС «ИНТЕРНЕТ

реклама
УТВЕРЖДЕН
RU.86201535.00002−02 34 01 ЛУ
ПРОГРАММНЫЙ КОМПЛЕКС
«ИНТЕРНЕТ-ШЛЮЗ IDECO ICS 6»
РУКОВОДСТВО АДМИНИСТРАТОРА
Инв. № подл.
Подп. и дата
Взам. инв. №Инв. № дубл.
Подп. и дата
RU.86201535.00002−02 34 01
Листов 179
2015
2
АННОТАЦИЯ
В данном документе приведено руководство администратора программного комплекса
межсетевого экрана «Интернет-шлюз Ideco ICS 6», предназначенного для контроля информации и защиты локальной сети от угроз извне средствами сетевого фильтра, который исходя из
данных о состоянии соединений и множественных характеристик сетевых протоколов с учетом
дополнительной алгоритмической обработки и анализа принимает решение независимо для
каждого сетевого пакета и регистрирует его в специальном системном журнале.
В разделе «Назначение программы» приведено описание назначения программного
комплекса, его возможности, а также основные характеристики и ограничения, накладываемые на область применения программного комплекса.
В разделе «Установка и конфигурирование» описывается процесс установки и начального конфигурирования ПК «Интернет-шлюз Ideco ICS 6».
В разделе «Администрирование. Основная функциональность» содержится описание
веб-интерфейса ПК «Интернет-шлюз Ideco ICS 6», настройка при помощи веб-интерфейса
средств, реализующих контроль над информацией, поступающей в локальную сеть и/или выходящей из локальной сети, и обеспечение защиты локальную сети посредством фильтрации
информации, т. е. ее анализа по совокупности критериев и принятия решения о ее распространении в (из) локальной сети, процедуры обновления и проверки целостности обновлений.
В разделе «Администрирование. Дополнительная функциональность» содержится описание веб-интерфейса ПК «Интернет-шлюз Ideco ICS 6», настройка при помощи веб-интерфейса
подключения ПК «Интернет-шлюз Ideco ICS 6» к провайдеру, управление пользователями и
службами ПК «Интернет-шлюз Ideco ICS 6».
Оформление программного документа «Руководство администратора» произведено по
требованиям ЕСПД (ГОСТ 19.101-771) , ГОСТ 19.103-772) , ГОСТ 19.104-783) , ГОСТ 19.105-784) ,
ГОСТ 19.106-785) , ГОСТ 19.604-786) ).
1)
2)
3)
4)
5)
ГОСТ
ГОСТ
ГОСТ
ГОСТ
ГОСТ
19.101-77
19.103-77
19.104-78
19.105-78
19.106-78
ЕСПД.
ЕСПД.
ЕСПД.
ЕСПД.
ЕСПД.
Виды программ и программных документов
Обозначение программ и программных документов
Основные надписи
Общие требования к программным документам
Общие требования к программным документам, выполненным пе-
чатным способом
6) ГОСТ 19.604-78 ЕСПД. Правила внесения изменений в программные документы, выполненные печатным способом
3
СОДЕРЖАНИЕ
1 Введение
7
2 Общая информация
8
2.1
Определения и сокращения . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
8
2.2
Ключевые возможности ПК «Интернет-шлюз Ideco ICS 6» . . . . . . . . . . . . .
9
2.2.1
Эффективность . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
2.2.2
Безопасность . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
2.2.3
Надежность . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
2.3
Архитектура . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
2.4
Пользователи и группы . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
2.5
Управление . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
2.6
Учет, тарификация, ограничение доступа
. . . . . . . . . . . . . . . . . . . . . . . 14
3 Установка и конфигурирование
16
3.1
Системные требования . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
3.2
Установка ПК «Интернет-шлюз Ideco ICS 6»
3.3
Первоначальная настройка . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
. . . . . . . . . . . . . . . . . . . . . 17
3.3.1
Загрузка ПК «Интернет-шлюз Ideco ICS 6» . . . . . . . . . . . . . . . . . . 17
3.3.2
Смена пароля локальной консоли управления . . . . . . . . . . . . . . . . . 19
3.3.3
Подключение к веб-интерфейсу . . . . . . . . . . . . . . . . . . . . . . . . . 20
3.3.4
Базовая настройка . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
3.3.5
Настройка подключения к интернет-провайдеру . . . . . . . . . . . . . . . 22
3.3.6
Подключение администратора . . . . . . . . . . . . . . . . . . . . . . . . . . 26
3.3.7
Настройка режима безопасности . . . . . . . . . . . . . . . . . . . . . . . . . 27
3.3.8
Поиск и подключение компьютеров . . . . . . . . . . . . . . . . . . . . . . . 28
3.3.9
Дополнительные настройки . . . . . . . . . . . . . . . . . . . . . . . . . . . 29
3.3.10 Создание учетной записи пользователя . . . . . . . . . . . . . . . . . . . . . 30
3.4
Установка сертифицированного СКЗИ . . . . . . . . . . . . . . . . . . . . . . . . . 33
3.4.1
Установка ПК «МагПро КриптоСервер» версии 2.1 на ПК «Интернетшлюз Ideco ICS 6» . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35
3.4.2
Установка ПК «МагПро КриптоТуннель» версии 2.1 на рабочем месте
администратора . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38
3.4.3
Установка ПК «МагПро КриптоТуннель» версии 2.1 на рабочем месте
внешнего и внутреннего клиентов . . . . . . . . . . . . . . . . . . . . . . . . 40
3.4.4
Настройка VPN-соединения по протоколу SSTP через ПК «МагПро КриптоТуннель» . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41
3.5
Требования по безопасной настройке . . . . . . . . . . . . . . . . . . . . . . . . . . 44
3.6
Активация сервера ПК «Интернет-шлюз Ideco ICS 6» . . . . . . . . . . . . . . . . 46
4 Администрирование. Основная функциональность
4.1
49
Управление доступом . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49
4
4.1.1
Настройка фильтрации на сетевом уровне на основе сетевых адресов отправителя . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51
4.1.2
Настройка фильтрации на сетевом уровне на основе сетевых адресов получателя . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51
4.1.3
Настройка фильтрации пакетов служебных протоколов, служащих для
диагностики сетевых устройств . . . . . . . . . . . . . . . . . . . . . . . . . 52
4.1.4
Настройка фильтрации пакетов служебных протоколов, служащих для
управления работой сетевых устройств . . . . . . . . . . . . . . . . . . . . . 53
4.1.5
Настройка фильтрации с учетом входного и выходного сетевого интерфейса 54
4.1.6
Настройка фильтрации с учетом любых значимых полей сетевых пакетов
4.1.7
Настройка фильтрации на транспортном уровне запросов на установление
55
виртуальных соединений . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56
4.1.8
Настройка фильтрации на прикладном уровне запросов к прикладным
сервисам . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57
4.1.9
4.2
Настройка фильтрации с учетом даты/времени . . . . . . . . . . . . . . . . 58
Идентификация и аутентификация . . . . . . . . . . . . . . . . . . . . . . . . . . . 59
4.2.1
Аутентификация входящих и исходящих запросов . . . . . . . . . . . . . . 59
4.2.2
Аутентификация входящих и исходящих запросов методами, устойчивыми к пассивному и/или активному прослушиванию сети . . . . . . . . . . . 60
4.3
4.4
Регистрация . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60
4.3.1
Регистрация и учет фильтруемых пакетов . . . . . . . . . . . . . . . . . . . 60
4.3.2
Локальная сигнализация попыток нарушения правил фильтрации . . . . . 61
Администрирование: идентификация и аутентификация . . . . . . . . . . . . . . . 61
4.4.1
Идентификация и аутентификация администратора МЭ при его локальных запросах на доступ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61
4.4.2
Идентификация и аутентификация администратора МЭ при его удаленных запросах на доступ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62
4.5
Администрирование: регистрация . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63
4.5.1
Регистрация входа (выхода) администратора МЭ в систему (из системы) . 63
4.5.2
Регистрация загрузки и инициализации системы и ее программного останова 64
4.5.3
Регистрация запуска программ и процессов (заданий, задач) . . . . . . . . 64
4.5.4
Регистрация действий администратора по изменению правил фильтрации
4.5.5
Регистрация действий администратора по редактированию учетных дан-
66
ных пользователей . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67
4.5.6
4.6
4.7
Анализ регистрационной информации . . . . . . . . . . . . . . . . . . . . . 68
Контроль целостности . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69
4.6.1
Контроль целостности программной и информационной части . . . . . . . 69
4.6.2
Проверка целостности программной и информационной части . . . . . . . 69
4.6.3
Проверка целостности файлов по контрольным суммам компонент СЗИ
. 71
Восстановление . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72
4.7.1
Процедура восстановления после сбоев и отказов оборудования . . . . . . . 72
4.7.2
Процедура восстановления программной части . . . . . . . . . . . . . . . . 73
5
4.7.3
Процедура восстановления информационной части . . . . . . . . . . . . . . 73
4.7.4
Процедура обновления и проверки целостности обновлений . . . . . . . . . 74
5 Администрирование. Дополнительная функциональность
5.1
5.2
5.3
5.4
5.5
75
Подключение к провайдеру . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75
5.1.1
Подключение по Ethernet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75
5.1.2
Подключение по PPPoE
5.1.3
Подключение по PPTP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79
5.1.4
Подключение по L2TP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82
5.1.5
Одновременное подключение к нескольким провайдерам
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76
. . . . . . . . . . 84
Управление пользователями . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95
5.2.1
Дерево пользователей . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95
5.2.2
Управление учетными записями пользователей . . . . . . . . . . . . . . . . 97
5.2.3
Административные учетные записи . . . . . . . . . . . . . . . . . . . . . . . 100
5.2.4
Настройка учетных записей пользователей . . . . . . . . . . . . . . . . . . . 101
5.2.5
Интеграция с Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . 107
5.2.6
Проверка пользователя . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 110
Типы авторизации . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 112
5.3.1
Авторизация по IP-адресу . . . . . . . . . . . . . . . . . . . . . . . . . . . . 112
5.3.2
Авторизация по PPPoE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 112
5.3.3
Авторизация по PPTP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 113
5.3.4
Авторизация через Ideco Agent . . . . . . . . . . . . . . . . . . . . . . . . . 114
5.3.5
Авторизация через web-интерфейс . . . . . . . . . . . . . . . . . . . . . . . 116
5.3.6
NTLM-авторизация . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117
Туннельные соединения . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 119
5.4.1
OpenVPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 119
5.4.2
VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 124
Службы . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127
5.5.1
Сервер DNS
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127
5.5.2
Почтовый сервер . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 128
5.5.3
Сервер FTP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 135
5.5.4
Сервер DHCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 139
5.5.5
Сетевой фильтр . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 143
5.5.6
Сервер Web . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 149
5.5.7
Контент-фильтр . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 151
5.5.8
Защита от попыток неправомерной передачи защищаемой информации
(DLP) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 157
6 Обслуживание
6.1
Установка сертифицированного антивируса . . . . . . . . . . . . . . . . . . . . . . 160
6.1.1
6.2
160
Установка сертифицированного антивируса Dr.Web
. . . . . . . . . . . . . 160
Резервное копирование и восстановление данных . . . . . . . . . . . . . . . . . . . 162
6
6.3
6.2.1
Резервное копирование . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 162
6.2.2
Резервное копирование на сетевое хранилище по протоколу FTP . . . . . . 164
6.2.3
Резервное копирование на сетевое хранилище по протоколу NetBIOS . . . 165
6.2.4
Копирование файлов на локальный компьютер . . . . . . . . . . . . . . . . 166
6.2.5
Резервное копирование на локальный жесткий диск . . . . . . . . . . . . . 168
Режим удаленного помощника . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 172
6.3.1
6.4
Загрузка сервера в режиме удаленного помощника . . . . . . . . . . . . . . 172
Работа из консоли сервера от имени пользователя root в режиме удаленного помощника . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 174
6.4.1
Работа с сервером удаленно в режиме удаленного помощника . . . . . . . . 174
6.4.2
Удаленный доступ к локальному меню сервера . . . . . . . . . . . . . . . . 174
7 Приложения
176
7
1
ВВЕДЕНИЕ
Программный комплекс «Интернет-шлюз Ideco ICS 6» (далее ПК «Интернет-шлюз
Ideco ICS 6») – это универсальный межсетевой экран с функциями учета трафика. ПК «Интернет-шлюз Ideco ICS 6» позволяет быстро и легко настроить качественный доступ в Интернет
всем пользователям и сделать работу с Интернет управляемой и безопасной. Интегрированные
Интернет-сервисы позволяют сразу развернуть полноценную почтовую службу, веб-сайт, FTPсервер.
ПК «Интернет-шлюз Ideco ICS 6»– это высоконадежное и безопасное решение, которое
включает в себя полностью сконфигурированные и готовые к использованию компоненты. ПК
«Интернет-шлюз Ideco ICS 6» автоматически устанавливается и управляется через интуитивнопонятный графический интерфейс.
8
2
ОБЩАЯ ИНФОРМАЦИЯ
2.1
Определения и сокращения
Понятия, которые принадлежат предметной области, ориентированной на информационные системы и технологии:
IP-адрес
Уникальный сетевой адрес узла в компьютерной сети, взаимодействующей по протоколу IP. При связи через сеть Интернет требуется глобальная уникальность адреса,
в случае работы в локальной сети требуется уникальность адреса в пределах сети.
Регулярные выражения
Регулярные выражения (regular expression, regexp) – современная система поиска
текстовых фрагментов в электронных документах, основанная на специальной системе записи образцов для поиска. Образец (англ. pattern), задающий правило поиска, по-русски также иногда называют «шаблоном», «маской», или на английский
манер «паттерном».
Сетевая маска
Сетевая маска или маска подсети – битовая маска, определяющая, какая часть IPадреса узла сети относится к адресу сети, а какая – к адресу самого узла в этой
сети.
Сокращения, используемые в данном руководстве пользователя:
СКЗИ
Средство криптографической защиты информации.
AD
Active Directory – служба каталогов корпорации Microsoft для операционных систем
семейства Windows NT.
GRE
Generic Routing Encapsulation – общая инкапсуляция маршрутов. Протокол туннелирования сетевых пакетов, разработанный компанией CISCO Systems.
ICMP
Internet Control Message Protocol – межсетевой протокол управляющих сообщений.
Cетевой протокол, входящий в стек протоколов TCP/IP.
IMAP
Internet Message Access Protocol – протокол работы с почтовыми сообщениями. В
отличие от POP3 обработка почты ведется на центральном сервере.
POP3
Post Office Protocol Version 3 – протокол работы с почтовыми сообщениями. В отличие от IMAP все письма загружаются в почтовую программу, и дальнейшая обработка ведется на рабочей станции.
9
PPPoE
Point-to-point protocol over Ethernet – сетевой протокол передачи кадров PPP через
Ethernet. В основном используется XDSL-сервисами.
PPTP
Point-to-point tunneling protocol – туннельный протокол типа точка-точка, позволяющий компьютеру устанавливать защищенное соединение с сервером за счет создания
специального туннеля в стандартной, незащищенной, сети.
P2P
Peer-to-peer – одноранговая, децентрализованная или пиринговая сеть, в которой
все участники равноправны. В такой сети отсутствуют выделенные серверы, а каждый узел (peer) является как клиентом, так и сервером. В отличие от архитектуры
клиент-сервера, такая организация позволяет сохранять работоспособность сети при
любом количестве и любом сочетании доступных узлов.
QoS
Quality of Service – механизм управления пропускной способностью сети.
SSH
Secure SHell – сетевой протокол прикладного уровня, позволяющий производить удаленное управление операционной системой и туннелирование TCP-соединений через
защищенный (зашифрованный) канал.
TCP
Transmission Control Protocol – протокол управления передачей. Один из основных
сетевых протоколов интернета, предназначенный для управления передачей данных
в сетях и подсетях TCP/IP.
UDP
User Datagram Protocol – протокол пользовательских датаграмм. Транспортный протокол для передачи данных в сетях IP без установления соединения.
VLAN
Virtual Local Area Network – виртуальная локальная компьютерная сеть, представляет собой группу узлов с общим набором требований. Имеет те же свойства, что
и физическая локальная сеть, но позволяет сгруппировать вместе компьютеры, не
находящиеся в одной физической сети.
2.2
Ключевые возможности ПК «Интернет-шлюз Ideco ICS 6»
Возможности ПК «Интернет-шлюз Ideco ICS 6» обеспечивают решение трех основных
проблем доступа в интернет, актуальных для любого предприятия малого и среднего бизнеса:
– эффективность;
– безопасность;
– надежность.
10
2.2.1
Эффективность
Контентная фильтрация
Надежное средство борьбы с непродуктивным использованием доступа в интернет.
Социальные сети, сайты знакомств, форумы – доступ к ним может быть ограничен в считанные секунды. Поддерживается 18 категорий сайтов, включая ресурсы,
распространяющие вредоносное программное обеспечение. Фильтрация может быть
применена к конкретным пользователям или к группам.
Управление доступом
Широкий набор инструментов дает возможность гибкого управления доступом пользователей к интернет-ресурсам, включая сети P2P, системы обмена сообщениями,
сетевые игры и многое другое.
Развитая система формирования отчетов
Обеспечивает возможность контроля над сетевой активностью сотрудников. Статистика посещаемых ресурсов, детализированные отчеты, возможность экспорта и
другие инструменты, необходимые для принятия эффективных управленческих решений.
Виртуальные частные сети VPN
Высокая мобильность сотрудников, а также возможность объединения удаленных
офисов в единое информационное пространство позволят повысить эффективность
бизнес-процессов для территориально распределенных предприятий.
Простота внедрения и поддержки
Удобный графический интерфейс делает процесс эксплуатации простым и понятным, повышает преемственность ИТ-инфраструктуры, позволяя сократить эксплуатационные расходы и обеспечить непрерывность бизнес-процессов.
Дополнительные службы
ПК «Интернет-шлюз Ideco ICS 6» включает в себя сервер электронной почты, а также множество дополнительных служб (web, FTP). Все возможности, необходимые
современному бизнесу, доступны в одном решении.
2.2.2
Безопасность
Встроенные средства антивирусной защиты
Проверка трафика в режиме реального времени с применением технологий «Лаборатории Касперского», гарантирует высокую эффективность обнаружения и блокирования вредоносного ПО, проникающего через e-mail или web-ресурсы.
Модуль DLP
Технология предотвращения утечек защитит конфиденциальную информацию предприятия от случайного раскрытия, например, отправки по электронной почте.
11
2.2.3
Надежность
Резервирование интернет-каналов
В ПК «Интернет-шлюз Ideco ICS 6» реализована возможность резервирования каналов доступа в интернет. Если один из каналов выйдет из строя, автоматически
будет подключен резервный, что обеспечит непрерывность бизнес-процессов.
Управление шириной канала
Автоматическое интеллектуальное управление полосой пропускания, в совокупности с возможностью балансировки нагрузки между несколькими каналами доступа
в интернет, гарантирует высокую эффективность передачи критически важного трафика, например, IP-телефонии.
Ядро Linux
В основе ПК «Интернет-шлюз Ideco ICS 6» лежит ядро Linux, традиционно используемое в высоконагруженных системах с повышенными требованиями к безопасности.
Техническая поддержка
Техническая поддержка работает в режиме реального времени и поможет своевременно решать возникающие проблемы до того момента, когда они начнут наносить
вред бизнес-процессам.
2.3
Архитектура
ПК «Интернет-шлюз Ideco ICS 6» устанавливается на границе корпоративной сети
и сети Интернет, обеспечивая полный контроль над трафиком, как передаваемым интернетресурсами в локальную сеть, так и наоборот. Cтандартное размещение интернет-шлюза представлено на рисунке 1.
12
Рисунок 1 – архитектура ПК «Интернет-шлюз Ideco ICS 6»
2.4
Пользователи и группы
Основным понятием ПК «Интернет-шлюз Ideco ICS 6» является пользователь. Пользователь – регистрационная запись пользователя, получающего доступ в Интернет через ПК
«Интернет-шлюз Ideco ICS 6». Пользователем также может быть внутренний сервер предприятия или любое сетевое устройство.
Для удобства управления пользователей объединяют в группы, уровень вложенности
которых неограничен. Такая древовидная структура позволяет легко отразить реальную структуру предприятия.
13
Рисунок 2 – пользователи и группы
Группой может являться также и стороннее юридическое лицо в случае оказания услуг
доступа другим предприятиям. Для этого можно создать группу и передать управление этой
группой администратору этого предприятия. У таких групп необходимо устанавливать признак
финансовая.
Основные параметры пользователей, такие, как пул IP-адресов, профиль выхода в Интернет, параметры ограничений и разрешений, по умолчанию наследуются от родительских
групп.
Каждый пользователь и каждая группа имеют свой лицевой счет, который отражает
текущий баланс.
Рисунок 3 – баланс пользователя
Система обеспечивает хранение информации об истории баланса, расходов за период,
поступлениях за период, остатков на начало расчетных периодов. История отражена в журнале
операций.
Для нефинансовых пользователей устанавливается лимит расхода за период, баланс
обнуляется в начале периода и отсчет идет заново.
14
Для финансовых пользователей обнуление баланса не происходит, а оплата производится оператором.
Все настройки пользователей и групп хранятся в базе данных, пароли в целях безопасности хранятся в закодированном виде.
2.5
Управление
Управление программным комплексом межсетевым экраном «Интернет-шлюз Ideco
ICS 6» осуществляется через веб-интерфейс.
Администратор – это пользователь, имеющий права по управлению другими пользователями.
Рисунок 4 – администратор
В системе может быть определено произвольное число администраторов с различными
полномочиями.
После установки системы в ней зарегистрирован единственный администратор с именем «Главный администратор» и логином «Administrator». Главный администратор имеет неограниченные права по управлению ПК «Интернет-шлюз Ideco ICS 6». В дальнейшем могут быть
созданы дополнительные администраторы.
Администратор может управлять всеми пользователями группы, в которой он находится сам, а также всеми подгруппами этой группы.
Администратор может любого из пользователей группы назначить администратором
группы. Тогда администратор группы сможет управлять пользователями своей группы, при
этом он не сможет просматривать и изменять пользователей в других группах и не может
управлять правилами фильтрации трафика.
На каждое изменение учетных записей пользователей и групп, правил фильтрации,
запуск и остановку сервисов и программ ведется журнал, который записывается в базу данных.
В дальнейшем записанный журнал можно просмотреть в веб-интерфейсе.
2.6
Учет, тарификация, ограничение доступа
В системе ведется учет расхода трафика по пользователям, группам пользователей и
всего предприятия в целом.
Тарификация – это списание с лицевого счета пользователя условных единиц в соответствии с назначенным профилем выхода в Интернет. Списание происходит в реальном
времени.
Профиль выхода в Интернет определяет стоимость трафика в зависимости от направления. В зависимости от потребностей предприятия может быть определено несколько профи-
15
лей выхода в Интернет. Поддерживается возможность смены профиля выхода в Интернет как
для отдельных пользователей, так и для групп пользователей.
В зависимости от состояния баланса пользователей или группы может происходить
ограничение доступа. Например, если установить у пользователя порог отключения равным
«−50», то при достижении балансом этого значения пользователю будет автоматически закрыт
доступ в Интернет. Также имеется возможность рассылки предупреждений о скором отключении доступа по электронной почте, winpopup.
Рисунок 5 – настройки баланса пользователя
16
3
УСТАНОВКА И КОНФИГУРИРОВАНИЕ
3.1
Системные требования
Требования к серверу ПК «Интернет-шлюз Ideco ICS 6»:
Процессор
1)
Процессор Intel с частотой 1,5 ГГц с одним или несколькими ядрами.
Память
1)
2 Гб
Накопитель2)
Жесткий диск с интерфейсом IDE, SCSI, SATA или SAS, либо аппаратный RAID
HP или Intel. Объем не менее 160 Гб.
Сеть
Две сетевые карты. Рекомендуется карты на чипах 3Com, Intel, Broadcom, Realtek.
Дополнительно
Системная плата на чипсете Intel, CD-ROM или DVD-ROM с интерфейсом IDE или
SATA, монитор, клавиатура.
Примечания:
1. В зависимости от количества пользователей, рекомендуется придерживаться следующего правила: на каждые 250 активных пользователей требуется один гигабайт
памяти и одно ядро процессора. Требования сильно варьируются в зависимости от
сетевой нагрузки и используемых сервисов, таких как контентная фильтрация и
антивирусы.
2. В зависимости от объема трафика и продолжительности хранения детализированной статистики, может потребоваться увеличение объема накопителя, или установка дополнительного. Для хранения данных встроенных сервисов (FTP, Web-сервер,
почтовый сервер, прокси-сервер и др.) также может потребоваться дополнительное
место.
Для установки и работы ПК «Интернет-шлюз Ideco ICS 6» не требуется предустановленная ОС. ПК «Интернет-шлюз Ideco ICS 6» устанавливается на выделенный сервер с загрузочного CD. Для функционирования ПК «Интернет-шлюз Ideco ICS 6» должно быть установлено сертифицированное ФСБ России СКЗИ «МагПро КриптоПакет» версии 2.1 (сертификат
соответствия ФСБ России № СФ/124−2063 от 05 февраля 2013 г.), входящее в комплект поставки на отдельном компакт-диске.
Для настройки ПК «Интернет-шлюз Ideco ICS 6» через веб-интерфейс необходимо обеспечить связь компьютера администратора с ПК «Интернет-шлюз Ideco ICS 6» по протоколу
IP.
17
3.2
Установка ПК «Интернет-шлюз Ideco ICS 6»
ПК «Интернет-шлюз Ideco ICS 6» устанавливается с компакт диска на отдельный компьютер.
Возможна установка ПК «Интернет-шлюз Ideco ICS 6» на виртуальную машину. Поддерживается работа в следующих виртуальных окружениях:
– Linux KVM;
– Microsoft Hyper-V Server 2012;
– Microsoft Hyper-V Server 2008 R2;
– Oracle VirtualBox;
– VMware Player, Server.
При выделении ресурсов для виртуальной машины следует руководствоваться пунктом «3.1.
Системные требования».
Важно! Перед установкой все данные будут уничтожены.
ПК «Интернет-шлюз Ideco ICS 6» не поддерживает установку в существующую ОС
или соседство с другой ОС.
Установите в BIOS компьютера загрузку с CD-ROM и обязательно установите правильное время.
Вставьте в CD-ROM установочный диск с ПК «Интернет-шлюз Ideco ICS 6».
Выполните загрузку с установочного диска.
Следуйте инструкциям мастера установки.
Перезагрузите сервер.
3.3
3.3.1
Первоначальная настройка
Загрузка ПК «Интернет-шлюз Ideco ICS 6»
При запуске системы вы увидите на экране меню загрузчика ПК «Интернет-шлюз Ideco
ICS 6» (рисунок 6). В большинстве случаев достаточно просто подождать несколько секунд, и
загрузка системы продолжится автоматически.
18
Рисунок 6 – меню загрузчика ПК «Интернет-шлюз Ideco ICS 6»
При первом запуске после установки появится сообщение о необходимости настройки
сетевой карты для локальной сети (рисунок 7).
Рисунок 7 – Первичная настройка сети
Нажмите «Далее». Откроется диалог настройки Ethernet-интерфейса (рисунок 8).
19
Рисунок 8 – Параметры Ethernet-интерфейса
Выберите сетевую карту из списка найденных сетевых карт, настройте ее IP-адрес,
выберите пункт «Сохранить и применить» и нажмите кнопку «OK».
Сервер перезагрузится и на экран выведется приглашение для ввода пароля (рисунок 9).
По умолчанию административный пароль для локальной консоли управления: «servicemode». После первой загрузки необходимо сменить его на другой, длиной не менее 6 символов
(раздел 3.3.2).
Рисунок 9 – приглашение для ввода пароля
3.3.2
Смена пароля локальной консоли управления
Для входа в локальную консоль управления введите текущий пароль (рисунок 9).
Выберите пункт «Смена пароля» и нажмите «Enter».
Появится окно для ввода нового пароля (рисунок 10):
20
Рисунок 10 – приглашение для смены пароля
В появившемся окне введите новый пароль длиной не менее 6 символов, нажмите
«Enter», повторно введите тот же пароль (это необходимо для контроля правильности ввода)
и нажмите «Enter». Если пароль был введен верно, выведется сообщение: «Пароль заменен».
В противном случае выведется сообщение об ошибке и пароль не будет изменен.
3.3.3
Подключение к веб-интерфейсу
Когда процесс загрузки завершится, запустите на любом компьютере локальной сети
интернет-браузер, например Internet Explorer (версии 10 и новее, рекомендуется использовать
Internet Explorer 11), Mozilla Firefox (версии 35 или новее) или Google Chrome (версии 40 или
новее), и перейдите по тому локальному IP-адресу, который вы указали при установке в настройках локального сетевого интерфейса. В соответствующих полях введите логин и пароль
администратора (рисунок 11).
Рисунок 11 – вход в панель управления
В качестве имени пользователя используйте «Administrator», а в качестве пароля –
«servicemode».
21
При первом входе в панель управления запускается мастер настройки ПК «Интернетшлюз Ideco ICS 6» (рисунок 12).
Рисунок 12 – мастер настройки ПК «Интернет-шлюз Ideco ICS 6»
Первоначальная настройка включает в себя следующие этапы:
1. базовая настройка;
2. настройка подключения к интернет-провайдеру;
3. подключение администратора;
4. настройка режима безопасности;
5. поиск и подключение компьютеров;
6. дополнительные настройки.
Для перехода к первому этапу нажмите кнопку «Далее».
3.3.4
Базовая настройка
На этом этапе вы должны настроить базовые параметры:
Имя сервера
Укажите доменное имя сервера.
Временная зона
Выберите временную зону.
Реквизиты локального сетевого интерфейса
Укажите IP-адрес и маску подсети локального сетевого интерфейса. Локальный интерфейс используется для подключения ПК «Интернет-шлюз Ideco ICS 6» к локальной сети предприятия. Также вы можете выбрать сетевой адаптер, который будет
определен как локальный.
22
Рисунок 13 – базовая настройка
Для перехода к следующему этапу нажмите кнопку «Далее»
3.3.5
Настройка подключения к интернет-провайдеру
На данном этапе вам предстоит определить сетевые реквизиты сетевого адаптера, используемого для подключения к сети вашего интернет-провайдера:
Рисунок 14 – настройка подключения к сети Интернет
При первоначальной настройке вы можете настроить один из следующих типов подключения к интернет-провайдеру:
– прямое Ethernet-подключение;
23
– подключение по протоколу PPPoE;
– подключение с использованием протокола PPTP.
Выпадающее меню с выбором типа подключения к провайдеру показано на рисунке 15. В
выпадающем меню выберите соответствующий пункт:
Рисунок 15 – тип подключения к провайдеру
3.3.5.1
Прямое Ethernet-подключение
Для прямого Ethernet-подключения необходимо настроить параметры:
Внешний интерфейс
В случае, если в компьютере установлено более двух сетевых адаптеров, необходимо указать сетевой адаптер, который будет использоваться для подключения к
интернет-провайдеру. Для идентификации адаптера вы можете ориентироваться на
наименование производителя или MAC-адрес.
IP-адрес и маска внешнего интерфейса
Сетевые реквизиты, которые были назначены провайдером внешнему сетевому интерфейсу. Укажите IP-адрес и сетевую маску в формате CIDR или четырех октетов.
Шлюз по умолчанию
Укажите IP-адрес шлюза интернет-провайдера, через который будет осуществляться подключение к сети Интернет.
DNS-сервер 1
IP-адрес первичного DNS-сервера провайдера.
DNS-сервер 2
IP-адрес вторичного DNS-сервера провайдера.
Если провайдер поддерживает автоматическое конфигурирование с помощью протокола DHCP, то отметьте пункт «Получить сетевые реквизиты автоматически с помощью DHCPсервера провайдера».
3.3.5.2
Подключение по протоколу PPPoE
24
Рисунок 16 – подключение по протоколу PPPoE
Для подключения по протоколу PPPoE необходимо настроить параметры:
Внешний интерфейс
В случае, если в компьютере установлено более двух сетевых адаптеров, необходимо указать сетевой адаптер, который будет использоваться для подключения к
интернет-провайдеру. Для идентификации адаптера вы можете ориентироваться на
наименование производителя или MAC-адрес.
Логин
Имя учетной записи для подключения к провайдеру.
Пароль
Пароль учетной записи для подключения к провайдеру.
IP-адрес и маска внешнего интерфейса
Сетевые реквизиты, которые будут назначены внешнему сетевому интерфейсу. Укажите IP-адрес и сетевую маску в формате CIDR или четырех октетов. (Этот параметр не является обязательным для работы PPPoE-соединения).
Шлюз по умолчанию
Укажите IP-адрес шлюза интернет-провайдера, через который будет осуществляться подключение к сети Интернет.
DNS-сервер 1
IP-адрес первичного DNS-сервера провайдера.
DNS-сервер 2
IP-адрес вторичного DNS-сервера провайдера.
25
3.3.5.3
Подключение с использованием протокола PPTP
Рисунок 17 – подключение по протоколу PPTP
Для подключения с использованием протокола PPTP необходимо настроить параметры:
Внешний интерфейс
В случае, если в компьютере установлено более двух сетевых адаптеров, необходимо указать сетевой адаптер, который будет использоваться для подключения к
интернет-провайдеру. Для идентификации адаптера вы можете ориентироваться на
наименование производителя или MAC-адрес.
Логин
Имя учетной записи для подключения к провайдеру.
Пароль
Пароль учетной записи для подключения к провайдеру.
IP-адрес и маска внешнего интерфейса
Сетевые реквизиты, которые будут назначены внешнему сетевому интерфейсу. Укажите IP-адрес и сетевую маску в формате CIDR или четырех октетов. (Этот параметр не является обязательным для работы PPPoE-соединения).
Шлюз по умолчанию
Укажите IP-адрес шлюза интернет-провайдера, через который будет осуществляться подключение к сети Интернет.
26
VPN-сервер
Адрес VPN-сервера провайдера.
Применять шифрование MPPE
Поддержка шифрования. Устанавливается в том случае, если этого требует провайдер.
DNS-сервер 1
IP-адрес первичного DNS-сервера провайдера.
DNS-сервер 2
IP-адрес вторичного DNS-сервера провайдера.
Если провайдер поддерживает автоматическое конфигурирование с помощью протокола DHCP, то отметьте пункт «Получить сетевые реквизиты автоматически с помощью DHCPсервера провайдера».
3.3.6
Подключение администратора
Главный администратор системы имеет полный набор прав доступа, необходимый для
управления ПК «Интернет-шлюз Ideco ICS 6». Этим обусловлено повышенное внимание к его
авторизации.
Рисунок 18 – учетная запись администратора
E-mail Администратора
адрес электронной почты, на который будут отправляться оповещения о различных
системных событиях, таких как перезагрузка ПК «Интернет-шлюз Ideco ICS 6»,
недостаток свободного места на диске и т.д. Можно указывать несколько e-mail адресов, разделяя их точкой с запятой. Не рекомендуется указывать адрес на внутреннем почтовом сервере, так как в случае перехода ПК «Интернет-шлюз Ideco ICS 6»
в защищенный режим прием и отправка писем будут невозможны.
Тип подключения администратора
тип подключения (авторизации) компьютера Главного Администратора. Авторизация по IP работает «прозрачно» и используется по умолчанию. VPN-авторизация
27
– более защищенный тип подключения к серверу. Авторизация по VPN является
предпочтительной, учитывая что Главному Администратору доступны настройки
ПК «Интернет-шлюз Ideco ICS 6».
IP-адрес компьютера администратора
IP-адрес компьютера, с которого может осуществляться подключение к панели управления. По умолчанию административный интерфейс доступен с любого IP-адреса. Если политика безопасности требует, чтобы административная часть была доступна только с конкретного IP-адреса, то вы можете указать его здесь.
Пароль Администратора
по умолчанию главному администратору присвоен пароль «servicemode». На этом
шаге вы можете его сменить на новый, длиной не менее 6 символов. Попытки смены
пароля на пароль короче 6 символов будут отклонены.
Повторите пароль
повторить указанный выше пароль.
3.3.7
Настройка режима безопасности
На этом этапе вы можете осуществить первичную настройку спам-фильтра и антивируса, а также определить параметры сетевой безопасности:
Рисунок 19 – настройки спам-фильтра и антивируса
Антивирус и антиспам:
Включить проверку web-трафика Антивирусом Касперского
включает возможность антивирусной проверки web-трафика и приведет к автоматическому запуску прокси-сервера с прозрачным кэшированием трафика (при активации данной опции в конце настройки будет выполнена полная перезагрузка
интернет-шлюза).
Включить проверку почты Антивирусом Касперского
включает возможность антивирусной проверки электронной почты, которая отправляется через встроенный почтовый сервер ПК «Интернет-шлюз Ideco ICS 6».
Включить спам-фильтр Касперского
включает возможность фильтрации спама в электронной почте, которая отправляется через встроенный почтовый сервер ПК «Интернет-шлюз Ideco ICS 6».
Включить спам-фильтр DSPAM
включает спам-фильтр DSPAM.
28
Рисунок 20 – настройки сетевой безопасности
Разрешить VPN-соединения из интернет
глобальный параметр, разрешающий подключение удаленных пользователей и подразделений по VPN. Если параметр не включен, то пользователи с установленным
признаком «разрешить удаленное подключение» не смогут подключиться удаленно.
Блокировать сканеры портов
в случае обнаружения попыток сканирования сетевых портов, ПК «Интернет-шлюз
Ideco ICS 6» заблокирует IP-адрес сканирующего компьютера на несколько минут.
Это позволяет блокировать попытки поиска уязвимостей в локальной сети. Если
пользователи вашей локальной сети активно используют p2p-программы (торренты), то опцию рекомендуется отключить.
Ограничить кол-во TCP и UDP сессий с одного адреса
как правило, при работе пользователя в интернете устанавливается не более 150
одновременных соединений. Если происходит превышение этого значения, вероятно, что произошло заражение компьютера пользователя вирусами или adware программами. Включение данной опции заблокирует интенсивный трафик, вызванный
вирусной эпидемией. Опция также ограничивает использование пиринговых сетей,
так как поведение клиентов этих сетей не отличается от вирусных эпидемий. Кроме
того, опция выполняет такую важную функцию как защита от атак типа DDoS.
Макс. количество сессий из интернет
максимальное количество соединений, которое может быть установлено с одного IPадреса сети Интернет.
Макс. количество сессий из локальной сети
максимальное количество соединений, которое можно будет произвести с одного IPадреса локальной сети (от одного пользователя).
3.3.8
Поиск и подключение компьютеров
На этом этапе можно найти компьютеры в локальной сети и создать для них учетные
записи:
29
Рисунок 21 – поиск компьютеров в локальной сети
Этот этап не является обязательным и может быть пропущен.
Вы можете настроить параметры, которые будут применены для найденных компьютеров:
Группа для добавления пользователей
название группы, в которую автоматически будут добавлены учетные записи для
найденных компьютеров. Группа будет создана в корневой группе «Все».
Тип авторизации для группы
тип авторизации, который будет назначен указанной группе. Подробнее с типами
авторизации вы сможете познакомиться в главе «Типы авторизации».
Ежемесячный лимит
ежемесячный денежный лимит на каждого пользователя из группы «Моя организация». Эта сумма сразу же будет добавлена пользователям.
3.3.9
Дополнительные настройки
В дополнительных настройках можно настроить дополнительные службы:
30
Рисунок 22 – дополнительные настройки
– Сервер DHCP.
– Сервер электронной почты.
– Прокси-сервер.
Для каждой службы предусмотрен мастер, позволяющий осуществить ее настройку.
Для запуска мастера нажмите кнопку «Запустить».
Для завершения первоначальной настройки нажмите «Далее». После этого будет показан итоговый отчет о проведенных ранее настройках. Если все верно, нажмите «Применить».
Итоговый отчет показан на рисунке 23.
Рисунок 23 – итоговый отчет
После сохранения настроек ПК «Интернет-шлюз Ideco ICS 6» будет перезагружен.
3.3.10
Создание учетной записи пользователя
Рассмотрим создание учетной записи для пользователя ПК «Интернет-шлюз Ideco
ICS 6». После перезагрузки сервера войдите в административный веб-интерфейс, используя
логин «Administrator» и пароль «servicemode».
В разделе «Пользователи» создайте группу «Моя организация», как показано на рисунке 24.
31
Рисунок 24 – создание группы
В дереве пользователей появится созданная вами группа. Чтобы в эту группу добавить учетную запись клиента, нажмите значок пользователя справа от имени группы в дереве
пользователей (рисунок 25).
Рисунок 25 – пользовательская группа
При добавлении нового пользователя заполните обязательные поля: «Пользователь»,
«Логин», «Пароль», как показано на рисунке 26. Пароль нового пользователя должен быть не
короче 6 символов. Попытки создания нового пользователя с паролем короче 6 символов будут
отклонены.
Рисунок 26 – создание пользователя
После этого перейдите к настройкам только что созданной учетной записи пользователя и укажите IP-адрес клиента, с которого предполагается авторизация этой учетной записью
на ПК «Интернет-шлюз Ideco ICS 6». Для авторизации пользователя по его IP-адресу больше
никакие параметры указывать не нужно (рисунок 27).
32
Рисунок 27 – редактирование пользователя
На клиентской рабочей станции должен быть настроен IP-адрес, соответствующий IPадресу клиента, в качестве шлюза по умолчанию должен быть указан IP-адрес локального
интерфейса ПК «Интернет-шлюз Ideco ICS 6» (настроенный в пункте 3.3.1).
После этого пользователь будет авторизован на ПК «Интернет-шлюз Ideco ICS 6» по
IP-адресу, о чем указывает зеленый цвет иконки пользователя в дереве пользователей, как
показано на рисунке 28. На клиентской рабочей станции должен появиться доступ в сеть Интернет.
Рисунок 28 – авторизованный пользователь
Далее необходимо установить сертифицированное ФСБ России СКЗИ «МагПро КриптоПакет» версии 2.1 (сертификат соответствия ФСБ России № СФ/124−2063 от 05 февраля
2013 г.), входящее в комплект поставки на отдельном компакт-диске (раздел 3.4) и изменить
начальные и тестовые установки, а так же пароль на доступ к функциям ПК «Интернет-шлюз
Ideco ICS 6» (раздел 3.5).
На этом первоначальная настройка интернет-шлюза завершена.
33
3.4
Установка сертифицированного СКЗИ
Для соответствия ПК «Интернет-шлюз Ideco ICS 6» требованиям руководящих документов, указанных в сертификате соответствия на него, необходима установка сертифицированного ФСБ России СКЗИ «МагПро КриптоПакет» версии 2.1 (сертификат соответствия
ФСБ России № СФ/124−2063 от 05 февраля 2013 г.).
Для организации защищенного должно быть установлены следующие компоненты:
– на ПК «Интернет-шлюз Ideco ICS 6»: Программный комплекс «МагПро КриптоСервер» версии 2.1;
– на компьютере администратора ПК «Интернет-шлюз Ideco ICS 6», а также на компьютерах внутренних и внешних клентов, для которых требуется защита от пассивного и активного перехвата информации: Программный комплекс «МагПро КриптоТуннель» версии 2.1 и настроенное VPN-соединение по протоколу SSTP через ПК
МагПро КриптоТуннель.
Схема организации подключения представлена на рисунке 29.
СКЗИ «МагПро КриптоПакет», ПК «МагПро КриптоТуннель» и «МагПро КриптоСервер» версии 2.1 входят в комплект поставки ПК «Интернет-шлюз Ideco ICS 6» на отдельном
компакт-диске.
34
Рисунок 29 – Схема защиты соединения с использованием ПК «МагПро КриптоСервер» и
«МагПро КриптоТуннель»
35
3.4.1
Установка ПК «МагПро КриптоСервер» версии 2.1 на ПК «Интер-
нет-шлюз Ideco ICS 6»
Перед установкой сертифицированного СКЗИ сервер необходимо перевести в режим
удаленного помощника (раздел 6.3.1), а также разрешить копирование файлов на ПК «Интернет-шлюз Ideco ICS 6» (раздел 6.2.4).
После загрузки сервера в режиме удаленного помощника (о чем будет говорить надпись
!remotehelp! на локальной консоли (рисунок 30).
Рисунок 30 – Вид локальной консоли в режиме удаленного помощника
необходимо перейти в локальную консоль управления: нажать сочетание клавиш Alt+F7,
появится запрос на ввод логина. Ввести в качестве логина «root», на запрос пароля ввести пароль удаленного помощника. Появится приглашение для ввода команд.
Внимание! Важно все последующие команды вводить в этой консоли. Ввод команд в
SSH-сессии не допускается.
– создать временный каталог:
mkdir /tmp/crypto_server
– скопировать файлы:
ccstunnel
gostsum
libcryptocom.so
libcrypto.so.1.0.0
libssl.so.1.0.0
libstunnel.so
mkkey
openssl
skcs
36
с дистрибутивного носителя во временный каталог /tmp/crypto_server;
– в локальной консоли выполнить команды для установки этих файлов с нужными
правами в целевой каталог:
cd /tmp/crypto_server
/usr/local/ics/bin/ccstunnel-configure
– скопировать ключ лицензии cryptocom.lic в каталог /var/lib/ccstunnel;
– в локальной консоли выполнить команду для создания сертификатов, выполняя все
экранные инструкции:
/usr/local/ics/bin/ccstunnel_gen_certs
При выполнении этой команды последовательно создаются корневой сертификат
(рисунок 31), сертификат сервера (рисунок 32) и сертификат клиента (рисунок 33).
Рисунок 31 – Создание корневого сертификата
37
Рисунок 32 – Создание сертификата сервера
Рисунок 33 – Создание сертификата клиента
Если эта команда выполнилась неуспешно или была допущена ошибка, нужно повторить этот шаг.
О успешном выполнении этой команды будет сообщено на экране локальной консоли:
«Создание сертификатов завершено» (рисунок 34).
38
Рисунок 34 – Успешный результат создания сертификатов
– перезагрузить ПК «Интернет-шлюз Ideco ICS 6» в штатном режиме;
Далее необходимо установить и настроить ПК «МагПро КриптоТуннель» версии 2.1
на рабочем месте администратора (пункт 3.4.2).
Для того, чтобы осуществить взаимодействие по защищенному СКЗИ каналу между
внешним и внутренним клиентами, необходимо установить и настроить ПК «МагПро КриптоТуннель» версии 2.1 на компьютере каждого клиента (пункт 3.4.3).
3.4.2
Установка ПК «МагПро КриптоТуннель» версии 2.1 на рабочем ме-
сте администратора
Перед установкой и настройкой СКЗИ на рабочем месте администратора необходимо
выполнить установку и настройку сертифицированного СКЗИ на ПК «Интернет-шлюз Ideco
ICS 6» (пункт 3.4.1).
Распаковать полученный дистрибутив «МагПро КриптоТуннель» версии 2.1 в каталог
C:\CryptoTunnel:
C:\CryptoTunnel\autorun.inf
C:\CryptoTunnel\calchash.exe
C:\CryptoTunnel\license.txt
C:\CryptoTunnel\msvcr71.dll
C:\CryptoTunnel\starter.exe
C:\CryptoTunnel\stunnel\cryptocom.dll
C:\CryptoTunnel\stunnel\error.png
C:\CryptoTunnel\stunnel\libeay32.dll
C:\CryptoTunnel\stunnel\openssl.cnf
C:\CryptoTunnel\stunnel\ssleay32.dll
C:\CryptoTunnel\stunnel\stunnel.conf
C:\CryptoTunnel\stunnel\stunnel.exe
39
C:\CryptoTunnel\stunnel\urls
C:\CryptoTunnel\stunnel\USB_Disk_Eject.exe
Скопировать ключ лицензии cryptocom.lic для «МагПро КриптоТуннель» в каталог
C:\CryptoTunnel\stunnel.
Подключиться к ПК «Интернет-шлюз Ideco ICS 6» по SSH и скопировать сертификаты
ca.crt, client.crt, client.key из каталога /var/lib/ccstunnel в каталог C:\CryptoTunnel\
crypto.
Создать конфигурационный файл C:\CryptoTunnel\stunnel\stunnel.conf со следующим содержанием:
verify=2
client=yes
CAFile=..\crypto\ca.crt
cert=..\crypto\client.crt
key=..\crypto\client.key
engine=cryptocom
engineCtrl=RNG:PROGRAM
engineCtrl=RNG_PARAMS:seed
error_image=error.png
usb_eject=yes
sslVersion=TLSv1
taskbar=yes
[fstek]
protocol = http
accept = 127.0.0.1:443
; IP локального интерфейса ПК \IdecoICS
connect = 10.0.0.1:10443
ciphers = GOST2001-GOST89-GOST89
TIMEOUTclose = 0
Примечание:
– В строке «connect=» необходимо ввести IP локального интерфейса ПК «Интернетшлюз Ideco ICS 6», на который осуществляется подключение, через двоеточие – порт
подключения 10443.
Удалить из конфигурационного файла C:\CryptoTunnel\stunnel\urls все содержимое.
Запустить программу C:\CryptoTunnel\starter.exe.
Если все сделано правильно, в системном трее появится иконка (рисунок 35) или окно
с информацией о программе (рисунок 36).
40
Рисунок 35 – МагПро КриптоТуннель
Рисунок 36 – МагПро КриптоТуннель
Дополнительная информация по использованию ПК «МагПро КриптоТуннель» версии 2.1 доступна на сайте производителя по адресу http://cryptocom.ru/docs/tunnel.pdf.
Далее необходимо настроить VPN-соединения по протоколу SSTP через ПК «МагПро
КриптоТуннель» (пункт 3.4.4).
3.4.3
Установка ПК «МагПро КриптоТуннель» версии 2.1 на рабочем ме-
сте внешнего и внутреннего клиентов
Установка ПК «МагПро КриптоТуннель» версии 2.1 на рабочем месте внутренних
клиентов производится аналогично установке ПК «МагПро КриптоТуннель» версии 2.1 на
рабочем месте администратора (пункт 3.4.2).
Установка ПК «МагПро КриптоТуннель» версии 2.1 на рабочем месте внешних клиентов производится аналогично установке ПК «МагПро КриптоТуннель» версии 2.1 на рабочем
месте администратора (пункт 3.4.2), только в этом случае в конфигурационном файле «МагПро КриптоТуннель» C:\CryptoTunnel\stunnel\stunnel.conf указывается внешний IP-адрес
ПК «Интернет-шлюз Ideco ICS 6»:
verify=2
client=yes
CAFile=..\crypto\ca.crt
cert=..\crypto\client.crt
key=..\crypto\client.key
engine=cryptocom
engineCtrl=RNG:PROGRAM
engineCtrl=RNG_PARAMS:seed
error_image=error.png
usb_eject=yes
sslVersion=TLSv1
taskbar=yes
41
[fstek]
protocol = http
accept = 127.0.0.1:443
; IP внешнего интерфейса ПК \IdecoICS
connect = 192.168.0.1:10443
ciphers = GOST2001-GOST89-GOST89
TIMEOUTclose = 0
Примечание:
– В строке «connect=» необходимо ввести IP внешнего интерфейса ПК «Интернетшлюз Ideco ICS 6», на который осуществляется подключение, через двоеточие –
порт подключения 10443.
Далее необходимо настроить VPN-соединения по протоколу SSTP через ПК «МагПро
КриптоТуннель».
3.4.4
Настройка VPN-соединения по протоколу SSTP через ПК «МагПро
КриптоТуннель»
VPN-соединение по протоколу SSTP через ПК «МагПро КриптоТуннель» поддерживается в операционных системах Windows 7, Windows 8, Windows 2008 R2. Убедитесь, что на
компьютере-клиенте установлена эта версия.
Перед установкой VPN-соединения по протоколу SSTP необходимо импортировать
SSL-сертификат сервера ПК «Интернет-шлюз Ideco ICS 6» на компьютер-клиент.
Для этого cкачайте файл SSL-сертификата с веб-страницы авторизации ПК «Интернет-шлюз Ideco ICS 6» (рисунок 37):
Рисунок 37 – SSL-сертификат Ideco ICS
На компьютере-клиенте откройте диспетчер сертификатов. Для этого нажмите кнопку «Пуск», введите «mmc» в поле поиска и затем нажмите клавишу «Enter». Если отображается запрос на ввод пароля администратора или его подтверждения, укажите пароль или
предоставьте подтверждение. Откройте меню «Файл» → «Добавить или удалить оснастку...»,
42
выберите оснастку «Сертификаты», нажмите «Добавить», выберите тип управления оснастки
«учетной записи компьютера», нажмите «Далее», выберите «Эта оснастка всегда управляет
локальным компьютером» и нажмите «Готово». Нажмите «ОК».
В корне консоли выберите «Сертификаты (локальный компьютер)» → «Доверенные
корневые центры сертификации» → «Сертификаты», нажмите правую кнопку мыши, выберите
пункт «Все задачи» → «Импорт» (рисунок 38.
Рисунок 38 – Импорт сертификата Ideco ICS
В «Мастере выбора сертификатов» в качестве файла укажите скачанный со страницы
авторизации ПК «Интернет-шлюз Ideco ICS 6» сертификат root_CA.crt, нажмите «Далее», выберите в качестве «Хранилища сертификатов» «Доверенные корневые центры сертификации»,
нажмите «Далее» и «Готово». Должно показаться сообщение о успешном импорте сертификата
и в списке сертификатов должен появится импортированный сертификат (рисунок 39 – «Ideco
ICS 15445»).
43
Рисунок 39 – Сертификат Ideco ICS
Создайте VPN-соединение по протоколу SSTP. Для этого нажмите кнопку «Пуск»,
выберите «Панель управления» → «Сеть и Интернет» → «Центр управления сетями и общим доступом» → «Настройка нового подключения или сети» → «Подключение к рабочему
месту» и нажмите «Далее». Выберите «Создать новое подключение», нажмите «Далее», выберите «Использовать мое подключение к Интернету (VPN)». В качестве Интернет-адреса для
подключения выберите адрес «МагПро КриптоТуннель»: 127.0.0.1, введите в «Имя местоназначения»: «SSTP-подключение», поставьте флажок на пункте «Не подключаться сейчас»,
нажмите «Далее». Введите имя пользователя и пароль. Для администратора это соотвественно «administrator» и пароль администратора. Нажмите кнопку «Создать», после того как
подключение будет создано и готово к использованию – нажмите кнопку «Закрыть».
В «Центре управления сетями и общим доступом» выберите пункт «Изменение параметров адаптера», сделайте двойной щелчок на значке «SSTP-подключение». В окне «SSTPподключение» нажмите «Свойства». Перейдите на вкладку «Безопасность», в меню «Тип
VPN» выберите «SSTP (Secure Socket Tunneling Protocol)» и нажмите «ОК».
Перед подключением убедитесь, что ПК «МагПро КриптоТуннель» запущен и работает (рисунок 35).
В окне «Подключение: SSTP-соединение» нажмите «Подключение».
Для того чтобы авторизоваться администратору аутентифицироваться в веб-интерфейсе,
необходимо открыть в веб-браузере защищенный адрес (в установке по умолчанию это https:
//10.128.0.0), в этом случае все запросы администратора на доступ будут защищены СКЗИ.
Для аутентификации входящих и исходящих запросов методами, устойчивыми к пассивному и/или активному прослушиванию сети нужно аналогичным образом установить VPNсоединение по протоколу SSTP через ПК «МагПро КриптоТуннель» на втором компьютереклиенте.
44
3.5
Требования по безопасной настройке
Перед началом эксплуатации ПК «Интернет-шлюз Ideco ICS 6» администратору безопасности необходимо изменить начальные и тестовые установки, а так же пароль на доступ
к функциям ПК «Интернет-шлюз Ideco ICS 6»:
– изменить идентификатор главного администратора «Administrator» на уникальный
идентификатор;
– установить для главного администратора трудный для подбора пароль: пароль должен быть длиной не менее 8 символов, состоять из буквенно-цифровой последовательности с добавлением специальных символов (#, $, * и т.д.);
– администратору необходимо производить смену пароля не реже одного раза в месяц.
Для исключения администрирования с любого узла сети в административном вебинтерфейсе ПК «Интернет-шлюз Ideco ICS 6» необходимо указать IP-адрес компьютера администратора (рисунок 40).
Для затруднения и исключения использования сканеров с целью сбора информации и
поиска уязвимостей администратору необходимо включить блокировку сканеров портов (рисунок 40).
Рисунок 40 – Ограничение доступа
Администратору необходимо добавить правила фильтрации, запрещающие несанкционированный доступ из любых сетей к web-интерфейсу управления ПК «Интернет-шлюз Ideco
ICS 6»: для этого системном фаерволе создать группу правил «security» (раздел 4.1), и в ней
создать два правила (рисунок 43):
– правило, разрешающее доступ в веб-интерфейс с компьютера администратора (в
примере на рис. 41 это компьютер с IP 192.168.1.2);
– правило, запрещающее доступ в веб-интерфейс со всех компьютеров (рис. 42);
– разрешающее правило должно стоять в списке правил перед запрещающим правилом (рис. 43).
45
Рисунок 41
Рисунок 42
Рисунок 43
Администратору необходимо исключить использование потенциально уязвимых сервисов (HTTP сервера, FTP сервера, DNS сервера, SMTP сервера), для этого:
– отключить встроенный веб-сервер на вкладке «Сервер» → «Web-Сервер»;
– отключить FTP сервер на вкладке «Сервер» → «FTP-сервер»;
– закрыть доступ к DNS-серверу из всех сетей: в системном фаерволе создать группу
правил «Запрет DNS», в ней создать правило, запрещающее доступ из любых сетей
к DNS-серверу (рисунок 44).
– отключить на вкладке «Сервер» → «Почтовый сервер» встроенную почту POP3,
встроенную почту IMAP, доступ к почте из сети Интернет, веб-почту на локальном
и внешнем адресе.
46
– закрыть доступ к SMTP-серверу из всех сетей: в системном фаерволе создать группу
правил «Запрет SMTP», в ней создать правило, запрещающее доступ из любых сетей
к SMTP-серверу (рисунок 45).
Рисунок 44 – Запрет доступа к DNS-серверу
Рисунок 45 – Запрет доступа к SMTP-серверу
При удаленном администрировании на ПК «Интернет-шлюз Ideco ICS 6» необходимо
использовать ПК «МагПро КриптоСервер», на компьютере администратора – ПК «МагПро
КриптоТуннель» (раздел 3.4).
Администратору необходимо периодически проверять сайт разработчика (https://
ideco.ru) и Центр сертифицированных обновлений Производителя ПК «Интернет-шлюз Ideco
ICS 6» (https://update.prp.su) на наличие сведений об уязвимостях и обновлениях ПК «Интернет-шлюз Ideco ICS 6», закрывающих найденные уязвимости. Установка обновлений сертифицированной версии ПК «Интернет-шлюз Ideco ICS 6» допускается только с Центра сертифицированных обновлений Производителя (https://update.prp.su) в соответствии с рекомендациями, приведенными в Формуляре.
3.6
Активация сервера ПК «Интернет-шлюз Ideco ICS 6»
Активация продукта является необходимым шагом для ввода интернет-шлюза ПК
«Интернет-шлюз Ideco ICS 6» в эксплуатацию. Если перед приобретением шлюза вы использовали его в демонстрационном периоде (30 дней), то все настройки, которые были произведены
в пробной версии, после активации останутся неизменными.
47
Важная информация Если вы хотите перенести ПК «Интернет-шлюз Ideco ICS 6» на новый жесткий диск, то необходимо провести повторную активацию сервера на новом
диске.
Прежде чем активировать продукт, его необходимо зарегистрировать. Для этого перейдите в раздел «О программе», который расположен в левом верхнем углу web-интерфейса,
и нажмите кнопку «Регистрация». Перед вами должна появиться форма регистрации, представленная на рисунке 46. В соответствующие поля введите название организации и регистрационный код. Эти данные вы должны были получить при приобретении интернет-шлюза ПК
«Интернет-шлюз Ideco ICS 6». Проверьте правильность введенных данных и нажмите кнопку
«Ok».
Рисунок 46 – регистрация продукта
Когда система проверит регистрационный номер, она предложит вам пройти процедуру
активации, которая может быть выполнена в двух режимах: автоматическом и ручном. Ручная
активация может потребоваться в том случае, если отсутствует доступ к сети Интернет. Если
же у вас уже настроено подключение к сети, то воспользуйтесь автоматической регистрацией,
нажав кнопку «Активировать».
Рисунок 47 – активация продукта
Для осуществления ручной активации необходимо выполнить следующие действия.
48
1. Позвоните по телефону в компанию «Айдеко» и получите код активации. В пределах
Российской Федерации действует бесплатная линия 8-800-555-33-40.
2. Введите полученный код в соответствующее поле и нажмите кнопку «OK».
3. Дождитесь появления на экране сообщения «Продукт был успешно активирован»,
после чего обязательно выполните полную перезагрузку сервера.
49
4
АДМИНИСТРИРОВАНИЕ. ОСНОВНАЯ
ФУНКЦИОНАЛЬНОСТЬ
4.1
Управление доступом
Управление доступом осуществляется при помощи сетевого фильтра (фаервола). Для
обеспечения гибкости и эффективности процесса управления трафиком фаервол разделен на
две части:
– системный фаервол;
– пользовательский фаервол.
Системный фаервол содержит список глобальных правил, применяемых ко всей сетевой подсистеме шлюза. Весь трафик, проходящий через шлюз, проверяется на соответствие
этим правилам.
Пользовательский фаервол содержит правила, которые применяются к управлению
трафиком клиентских устройств в сети. Эти правила действуют только в том случае, если
они зафиксированы во вкладке «Ограничения» в настройках конкретного пользователя или
группы пользователей.
Далее для простоты рассматривается управление доступом на уровне системного фаервола. Управление доступом на уровне пользовательского фаервола осуществляется аналогично.
Для управления доступом зайдите в веб-интерфейс под учетной записью администратора.
Перейдите на вкладку «Безопасность» → «Системный фаервол» (рисунок 48).
Рисунок 48 – Группы правил системного фаервола
Нажмите на кнопку «Создать группу», в появившемся окне введите название группы,
и нажмите кнопку «Сохранить» (рисунок 49).
50
Рисунок 49 – Создание группы правил
Чтобы отредактировать группу, нажмите на ее название (рисунок 50):
Рисунок 50 – Редактирование группы правил
Для редактирования используются следующие кнопки:
переместить правило или группу правил на уровень вверх по списку;
переместить правило или группу правил на уровень вниз по списку;
включить либо отключить правило либо группу правил, зеленый цвет означает что правило либо группа правил включена;
отредактировать правило либо группу правил;
удалить правило либо группу правил.
Примечание: правила фаервола применяются в порядке очередности, сверху вниз.
Чтобы созданные и отредактированные правила вступили в действие, нужно нажать
кнопку «Перезагрузить firewall на сервере».
Далее все примеры создания правил фильтрации будут проводиться в созданной группе
правил.
51
4.1.1
Настройка фильтрации на сетевом уровне на основе сетевых адресов
отправителя
Для настройки фильтрации на сетевом уровне на основе сетевого адреса отправителя
нажмите кнопку «Добавить правило». На вкладке «Базовые настройки» введите IP-адрес и
маску сетевых адресов отправителя в поле «Источник» и требуемое действие фильтрации.
Например: чтобы запретить прохождение трафика от 192.168.0.2, нужно ввести следующие
данные:
Рисунок 51 – Настройки фильтрации на основе сетевых адресов отправителя
Источник: Адрес/маска
IP: 192.168.0.2
Маска: 255.255.255.255
src порт(ы): 0
Назначение: Адрес/маска
IP: 0.0.0.0
Маска: 0.0.0.0
dst порт(ы): 0
Протокол: ALL
Путь: FORWARD
Действие: Запретить
И нажмите кнопку «Сохранить».
Примечание:
1. IP-адрес 0.0.0.0 и маска 0.0.0.0 означает любой адрес, т. е. в данном примере
сетевой адрес получателя не учитывается.
2. «Протокол: ALL» и «Путь: FORWARD» обозначает все пакеты, проходящие через
сервер.
После настроек правил фильтрации нужно нажать кнопку «Перезагрузить firewall на
сервере».
4.1.2
Настройка фильтрации на сетевом уровне на основе сетевых адресов
получателя
Для настройки фильтрации на сетевом уровне на основе сетевого адреса получателя нажмите кнопку «Добавить правило». На вкладке «Базовые настройки» введите IP-адрес
и маску сетевых адресов получателя в поле «Источник» и требуемое действие фильтрации.
Например: чтобы запретить прохождение трафика к 192.168.0.2, нужно ввести следующие
данные:
52
Рисунок 52 – Настройки фильтрации на основе сетевых адресов получателя
Источник: Адрес/маска
IP: 0.0.0.0
Маска: 0.0.0.0
dst порт(ы): 0
Назначение: Адрес/маска
IP: 192.168.0.2
Маска: 255.255.255.255
src порт(ы): 0
Протокол: ALL
Путь: FORWARD
Действие: Запретить
И нажмите кнопку «Сохранить».
Примечание:
1. IP-адрес 0.0.0.0 и маска 0.0.0.0 означает любой адрес, т. е. в данном примере
сетевой адрес отправителя не учитывается.
2. «Протокол: ALL» и «Путь: FORWARD» обозначает все пакеты, проходящие через
сервер.
После настроек правил фильтрации нужно нажать кнопку «Перезагрузить firewall на
сервере».
4.1.3
Настройка фильтрации пакетов служебных протоколов, служащих
для диагностики сетевых устройств
Для настройки фильтрации пакетов служебных протоколов, служащих для диагностики сетевых устройств нажмите кнопку «Добавить правило». На вкладке «Базовые настройки»
в поле «Протокол» выберите «ICMP», в поле «Type:» выберите необходимый тип служебного протокола, служащего для диагностики сетевых устройств, и в поле «Действие:» выберите
требуемое действие фильтрации.
Например: чтобы запретить прохождение всех пакетов служебных протоколов, служащих для диагностики сетевых устройств, нужно ввести следующие данные:
53
Рисунок 53 – Настройки фильтрации пакетов служебных протоколов
Источник: Адрес/маска
IP: 0.0.0.0
Маска: 0.0.0.0
Назначение: Адрес/маска
IP: 0.0.0.0
Маска: 0.0.0.0
Протокол: ICMP
Путь: FORWARD
Действие: Запретить
Type: ALL
И нажмите кнопку «Сохранить».
Примечание:
1. IP-адрес 0.0.0.0 и маска 0.0.0.0 означает любой адрес, т. е. в данном примере
сетевые адреса отправителя и получателя не учитывается.
2. «Протокол: ICMP», «Type: ALL» и «Путь: FORWARD» обозначает все пакеты всех
служебных протоколов, служащих для диагностики сетевых устройств, проходящие
через сервер.
После настроек правил фильтрации нужно нажать кнопку «Перезагрузить firewall на
сервере».
4.1.4
Настройка фильтрации пакетов служебных протоколов, служащих
для управления работой сетевых устройств
Для настройки фильтрации пакетов служебных протоколов, служащих для для управления работой сетевых устройств нажмите кнопку «Добавить правило». На вкладке «Базовые
настройки» в поле «Протокол» выберите «UDP», в поле «dst порт(ы):» введите «161», и в поле
«Действие:» выберите требуемое действие фильтрации.
Например: чтобы запретить прохождение всех пакетов служебных протоколов, служащих для диагностики сетевых устройств, нужно ввести следующие данные:
54
Рисунок 54 – Настройки фильтрации пакетов служебных протоколов
Источник: Адрес/маска
IP: 0.0.0.0
Маска: 0.0.0.0
src порт(ы): 161
Назначение: Адрес/маска
IP: 0.0.0.0
Маска: 0.0.0.0
dst порт(ы): 161
Протокол: UDP
Путь: FORWARD
Действие: Запретить
И нажмите кнопку «Сохранить».
Примечание:
1. IP-адрес 0.0.0.0 и маска 0.0.0.0 означает любой адрес, т. е. в данном примере
сетевые адреса отправителя и получателя не учитывается.
2. «Протокол: UDP», «src порт(ы): 161», «dst порт(ы): 161», «Путь: FORWARD» обозначает, что правило действует на все (исходящие и входящие) пакеты служебного
протокола SNMP (простой протокол управления сетью), проходящие через МЭ.
После настроек правил фильтрации нужно нажать кнопку «Перезагрузить firewall на
сервере».
4.1.5
Настройка фильтрации с учетом входного и выходного сетевого ин-
терфейса
Для того чтобы учитывать в правиле фильтрации входной и выходной сетевой интерфейс, перейдите на вкладку «Дополнительные настройки», введите в поля «Входящий интерфейс» или «Исходящий интерфейс» имена интерфейса, которые нужно учитывать в правиле
фильтрации.
Например: чтобы в предыдущем примере (пункт 4.1.4) запретить прохождение всех
пакетов служебных протоколов, приходящих на локальный интерфейс Leth1, нужно дополнительно ввести следующие данные:
55
Рисунок 55 – Настройки фильтрации пакетов служебных протоколов с учетом входного
интерфейса
И нажмите кнопку «Сохранить».
Примечание:
1. Допускается в качестве имени интерфейса использовать маску, например: все внешние сетевые интерфейсы обозначать как «E*», все внутренние сетевые интерфейсы
обозначать как «L*».
После настроек правил фильтрации нужно нажать кнопку «Перезагрузить firewall на
сервере».
4.1.6
Настройка фильтрации с учетом любых значимых полей сетевых па-
кетов
КЦ позволяет осуществлять фильтрацию с учетом следующих значимых полей сетевых
пакетов:
– номер порта;
Для настройки фильтрации пакетов с учетом номера порта нажмите кнопку «Добавить
правило». На вкладке «Базовые настройки» в поле «Протокол» выберите «TCP», в поле «src
порт(ы):» введите номер порта и в поле «Действие:» выберите требуемое действие фильтрации.
Например: чтобы запретить прохождение всех исходящих пакетов с порта 4321, нужно
ввести следующие данные:
56
Рисунок 56 – Настройки фильтрации пакетов с учетом порта
Источник: Адрес/маска
IP: 0.0.0.0
Маска: 0.0.0.0
src порт(ы): 4321
Назначение: Адрес/маска
IP: 0.0.0.0
Маска: 0.0.0.0
dst порт(ы): 0
Протокол: TCP
Путь: FORWARD
Действие: Запретить
И нажмите кнопку «Сохранить».
Примечание:
1. IP-адрес 0.0.0.0 и маска 0.0.0.0 означает любой адрес, т. е. в данном примере
сетевые адреса отправителя и получателя не учитывается.
После настроек правил фильтрации нужно нажать кнопку «Перезагрузить firewall на
сервере».
4.1.7
Настройка фильтрации на транспортном уровне запросов на установ-
ление виртуальных соединений
Для настройки фильтрации пакетов на транспортном уровне запросов на установление
виртуальных соединений нажмите кнопку «Добавить правило».
На вкладке «Базовые настройки» введите IP-адрес и маску сетевых адресов отправителя и получателя в поле «Источник», в поле «Протокол» выберите «TCP», в поле «Действие:»
выберите требуемое действие фильтрации.
Например, чтобы заблокировать установление виртуальных соединений клиента с IP
192.168.0.1 внутренней сети к серверу c IP 10.0.0.2 во внешней сети на порт 4321, введите
два правила:
57
Рисунок 57 – Блокировка на установление виртуальных соединений
Источник: Адрес/маска
IP: 192.168.0.2
Маска: 255.255.255.255
src порт(ы): 0
Назначение: Адрес/маска
IP: 10.0.0.2
Маска: 255.255.255.255
dst порт(ы): 4321
Протокол: TCP
Путь: FORWARD
Действие: Запретить
И нажмите кнопку «Сохранить».
Примечание:
1. 1 правило запрещает входящие запросы на 10.0.0.2 порт 4321 от 192.168.0.2; второе правило запрещает исходящие с 10.0.0.2 порта 4321 запросы на 192.168.0.2.
После настроек правил фильтрации нужно нажать кнопку «Перезагрузить firewall на
сервере».
4.1.8
Настройка фильтрации на прикладном уровне запросов к приклад-
ным сервисам
КЦ позволяет настроить фильтрацию на прикладном уровне к следующим сервисам:
– служебные протоколы;
– службы мгновенных сообщений;
– web-протоколы (http,imap,pop3);
– сетевые игры;
– трафик реального времени;
– SSL-соединения;
– пиринговые сети;
– туннельные соединения.
Для настройки фильтрации на на прикладном уровне запросов к прикладным сервисам нажмите кнопку «Добавить правило». На вкладке «Базовые настройки» введите IP-адрес
58
и маску сетевых адресов отправителя в поле «Источник», IP-адрес и маску сетевых адресов получателя в поле «Назначение», выберите в поле «Протокол:» необходимый прикладной сервис
и требуемое действие фильтрации.
Например: чтобы запретить прохождение веб-трафика от 10.0.0.2 из внешней сети до
192.168.0.2 в локальной сети, нужно ввести следующие данные:
Рисунок 58 – Настройки фильтрации на прикладном уровне запросов к прикладным сервисам
Источник: Адрес/маска
IP: 192.168.0.2
Маска: 255.255.255.255
src порт(ы): 0
Назначение: Адрес/маска
IP: 0.0.0.0
Маска: 0.0.0.0
dst порт(ы): 0
Протокол: ALL
Путь: FORWARD
Действие: Запретить
И нажмите кнопку «Сохранить».
Примечание:
1. в поле «Протокол» прикладные сервисы отмечены префиксом «Layer7:».
После настроек правил фильтрации нужно нажать кнопку «Перезагрузить firewall на
сервере».
4.1.9
Настройка фильтрации с учетом даты/времени
Для того чтобы учитывать в правиле фильтрации время и дату, откройте правило
фильтрации для редактирования, перейдите на вкладку «Дополнительные настройки», и введите в соответствующие поля диапазон времени, внутри которого это правило будет активна:
59
Рисунок 59 – Настройка фильтрации с учетом даты/времени
Период действия c: – правило фильтрации начнет действовать с данной даты и времени;
Период действия по: – правило фильтрации будет действовать до данной даты и времени;
Время действия: – правило фильтрации будет действовать только в указанный промежуток
времени;
Дни недели: – правило фильтрации будет действовать только в указанные дни недели;
Дни месяца: – правило фильтрации будет действовать только в указанные дни месяца; числа
месяца указываются через запятую, например: «1,2,3,28».
Для сохранения настроек нажмите кнопку «Сохранить».
После настроек правил фильтрации нужно нажать кнопку «Перезагрузить firewall на
сервере».
4.2
4.2.1
Идентификация и аутентификация
Аутентификация входящих и исходящих запросов
Аутентификация входящих запросов администратора производится с помощью вебинтерфейса. При неавторизованом подключении к веб-интерфейсу выводится окно авторизации, в которое нужно ввести логин и пароль. При администратор вводит свой идентификатор
в поле «Логин» и свой пароль в поле «Пароль». Данная информация передается в ПК «Интернет-шлюз Ideco ICS 6». Эти данные сверяются с содержимым соответствующих полей в БД
и проверяется IP адрес с которого происходит запрос. Если все поля совпадают с полями БД,
выдается временный сессионный ключ длиной 18 цифр и дальнейшие проверки производятся
на основе этого ключа.
60
После завершения работы администратор нажимает кнопку «Выход» и сессионный
ключ удаляется. Также выход из веб-интерфейса происходит автоматически через 15 минут
бездействия.
Описанный режим аутентификации администратора предназначен для работы ПК
«Интернет-шлюз Ideco ICS 6» в качестве МЭ 4 класса защищенности в соответствии с требованиями «Руководящий документ. Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от
несанкционированного доступа к информации» (далее РД МЭ).
Для работы ПК «Интернет-шлюз Ideco ICS 6» в качестве МЭ 3 класса защищенности
согласно РД МЭ необходимо руководствоваться пунктом 4.2.2.
4.2.2
Аутентификация входящих и исходящих запросов методами, устой-
чивыми к пассивному и/или активному прослушиванию сети
При использовании ПК «Интернет-шлюз Ideco ICS 6» в качестве МЭ 3 класса защищенности согласно РД МЭ, необходимо при аутентификации входящих и исходящих запросов
использовать методы, устойчивыми к пассивному и/или активному прослушиванию сети.
Для реализации таких методов аутентификации используется средство криптографической защиты информации (СКЗИ).
Поддерживаемые сертифицированные СКЗИ и порядок их установки описан в разделе 3.4.
При использовании ПК «МагПро КриптоСервер» и «МагПро КриптоТуннель» администратору, для того чтобы пройти аутентификацию в веб-интерфейсе, необходимо открыть в
веб-браузере адрес http://127.0.0.1:10443 и в окне авторизации ввести свой идентификатор
в поле «Логин» и свой пароль в поле «Пароль». Механизм внутренней авторизации на сервере
ПК «Интернет-шлюз Ideco ICS 6» аналогичен пункту 4.2.1 с тем отличием, что он проходит
внутри защищенного канала связи.
Примечание: в адресе http://127.0.0.1:10443 нужно указать тот порт, который был
указан в конфигурационном файле «МагПро КриптоТуннель» на этапе установки (пункт 3.4.1).
Дополнительно, организации использующей ПК «Интернет-шлюз Ideco ICS 6» необходимо обеспечить организационные меры для контроля доступа к компьютеру администратора.
4.3
4.3.1
Регистрация
Регистрация и учет фильтруемых пакетов
Для того, чтобы ПК «Интернет-шлюз Ideco ICS 6» регистрировал и учитывал все фильтруемые пакеты, в том числе запросы на установление виртуальных соединений, необходимо
в локальном меню перейти в раздел «Безопасность» и включить пункт меню «Регистрация и
учет фильтруемых пакетов» (рисунок 60), После сохранения изменений необходимо сделать
перезагрузку ПК «Интернет-шлюз Ideco ICS 6».
61
Рисунок 60 – Регистрация и учет фильтруемых пакетов
Адрес, время и результат фильтрации записываются в файлы в каталогах:
– /var/log/firewall/ACCEPT - все пропущенные пакеты;
– /var/log/firewall/DROP - все отфильтрованные пакеты.
Файлы именуются по типу пакетов и названиям цепочек, в которых произошло событие фильтрации, например, в /var/log/firewall/DROP/USER_DROP регистрируются пакеты,
задержанные в пользовательском фаерволе, а в /var/log/firewal/ACCEPT/INPUT_ACCEPT регистрируются все разрешенные входящие пакеты.
Эти файлы возможно просмотреть встроенными средствами, либо скопировать с ПК
«Интернет-шлюз Ideco ICS 6» для анализа.
4.3.2
Локальная сигнализация попыток нарушения правил фильтрации
В случае попытки нарушения пользователем правил фильтрации на локальную консоль выведется сообщение (рисунок 61).
Рисунок 61 – Сигнализация попытки нарушения правил фильтрации
4.4
Администрирование: идентификация и аутентификация
4.4.1
Идентификация и аутентификация администратора МЭ при его ло-
кальных запросах на доступ
Основная настройка ПК «Интернет-шлюз Ideco ICS 6» осуществляется через веб-интерфейс.
Тем не менее, в некоторых случаях, когда веб-интерфейс недоступен, имеется возможность
управления через локальное меню. Доступ в локальное меню разрешен только главному администратору.
62
Для локального администрирования используется только одна учетная запись с ограниченными правами, поэтому для входа в локальное меню главный администратор должен
ввести только свой пароль (рисунок 62).
Рисунок 62 – Приглашение для ввода пароля главного администратора
Если аутентификация главного администратора прошла успешно, появится локальное
меню управления ПК «Интернет-шлюз Ideco ICS 6» (рисунок 63).
Рисунок 63 – Локальное меню
4.4.2
Идентификация и аутентификация администратора МЭ при его уда-
ленных запросах на доступ
Идентификация администратора МЭ при его удаленных запросах на доступ осуществляется путем запроса веб-интерфейсом на предъявление личного логина и пароля администратора и сравнением его с ранее зарегистрированным логином и паролем администратора.
Дополнительно сравнивается исходящий сетевой адрес, с которого исходит запрос на доступ,
с ранее зарегистрированным сетевым адресом администратора.
В случае ввода неверных учетных данных доступ неаутентифицированному администратору не предоставляется и регистрируется попытка выполнения несанкционированных
действий.
После завершения работы администратор нажимает кнопку выхода, также выход происходит автоматически через 15 минут бездействия администратора.
При использовании ПК «Интернет-шлюз Ideco ICS 6» в качестве МЭ 4 класса защищенности по РД МЭ для доступа администратора в веб-интерфейс ему необходимо открыть в
веб-браузере адрес https://ICServer/ и в форме ввести логин и пароль администратора МЭ
(рисунок 64).
При использовании ПК «Интернет-шлюз Ideco ICS 6» в качестве МЭ 3 класса защищенности по РД МЭ для обеспечения идентификации и аутентификации методами, устойчивыми
63
к пассивному и/или активному перехвату информации, необходимо использовать сертифицированные СКЗИ (пункт 4.2.2). При использовании ПК «МагПро КриптоСервер» и «МагПро
КриптоТуннель» версии 2.1 для доступа администратора в веб-интерфейс ему необходимо открыть в веб-браузере адрес http://127.0.0.1:10443/ и в форме ввести логин и пароль администратора МЭ (рисунок 64). Только в этом случае его идентификация и аутентификация будет
проводиться методами, устойчивыми к пассивному и/или активному перехвату информации.
Рисунок 64 – Панель управления
Организации, использующей ПК «Интернет-шлюз Ideco ICS 6», необходимо обеспечить
дополнительные организационные меры для контроля доступа к компьютеру администратора.
4.5
4.5.1
Администрирование: регистрация
Регистрация входа (выхода) администратора МЭ в систему (из си-
стемы)
В ПК «Интернет-шлюз Ideco ICS 6» регистрируется каждый вход и выход главного
администратора из веб-интерфейса. Для его просмотра необходимо зайти в веб-интерфейс под
учетной записью главного администратора, и на вкладке «Монитор» открыть раздел «Аудит
событий» (рисунок 65).
Далее в поле «Период» выбрать диапазон времени, для которого нужно просмотреть
отчет, в поле «Тип» выбрать «Вход/Выход», в поле «Администратор» выбрать пункт «Все» и
нажать кнопку «Показать» (рисунок 65).
Примечание: При выборе пункта «Все» выведется информация о входе/выходе всех
администраторов. Если выбрать пункт «Главный администратор», либо любого другого существующего администратора, выведется информация о входе/выходе только выбранного администратора.
64
Рисунок 65 – Регистрация входа/выхода администратора
4.5.2
Регистрация загрузки и инициализации системы и ее программного
останова
Регистрация выхода из системы не проводится в моменты аппаратурного отключения
МЭ.
В параметрах регистрации указываются: - дата, время и код регистрируемого события;
- результат попытки осуществления регистрируемого события - успешная или неуспешная; идентификатор администратора МЭ, предъявленный при попытке осуществления регистрируемого события.
4.5.3
Регистрация запуска программ и процессов (заданий, задач)
В ПК «Интернет-шлюз Ideco ICS 6» регистрируется любое действие администратора
по запуску программ и процессов (заданий, задач). Для того чтобы просмотреть зарегистрированную информацию, зайдите в веб-интерфейс под учетной записью главного администратора
и на вкладке «Монитор» выберите раздел «Аудит событий».
Чтобы посмотреть зарегистрированные события запуска программ и процессов, в поле «Период» введите период времени, по которому необходимо сформировать отчет, в поле
«Тип» выберите «Системные события», в поле «Администратор» выберите администратора,
чьи действия необходимо посмотреть и нажмите кнопку «Показать» (рисунок 66).
65
Рисунок 66 – Отчет о запуске программ и процессов
Помимо этого, администратор может просмотреть состояние запущенных процессов и
задач.
Для того, чтобы посмотреть список запущенных задач, перейдите на вкладку «Монитор» и откройте раздел «Монитор служб» (рисунок 67).
Для того, чтобы посмотреть список запущенных процессов, перейдите на вкладку «Монитор» и откройте раздел «Процессы» (рисунок 68).
Рисунок 67 – Службы
66
Рисунок 68 – Процессы
Примечание:
PID идентификатор процесса;
USER имя пользователя, от которого запущен процесс;
PRI приоритет процесса;
NI приоритет процесса, используемый планировщиком задач;
SIZE размер процесса в памяти
RSS размер резидентной (не кешируемой) памяти процесса;
SHARE количество разделяемой памяти процесса;
STAT состояние, в котором на данный момент находится процесс;
%CPU процент использования процессорного времени;
%MEM процент использования памяти;
TIME время работы прцесса;
CPU команда, запустившая данный процесс.
4.5.4
Регистрация действий администратора по изменению правил филь-
трации
В ПК «Интернет-шлюз Ideco ICS 6» регистрируется любое действие администратора
по изменению правил фильтрации.
Для того чтобы просмотреть зарегистрированную информацию, необходимо зайти в
веб-интерфейс под учетной записью главного администратора и на вкладке «Монитор» выбрать раздел «Аудит событий».
Чтобы посмотреть действия администратора по изменению правил фильтрации, нужно
в поле «Период» ввести период времени, по которому необходимо сформировать отчет, в поле
«Тип» выбрать «Редактирование Firewall», в поле «Администратор» выбрать администратора,
чьи действия необходимо посмотреть и нажать кнопку «Показать» (рисунок 69).
67
Рисунок 69 – Отчет по действиям администратора по изменению правил фильтрации
4.5.5
Регистрация действий администратора по редактированию учетных
данных пользователей
В ПК «Интернет-шлюз Ideco ICS 6» регистрируется любое действие администратора
по изменению учетных данных пользователей, в том числе:
– смена паролей пользователей;
– заведение и удаление учетных записей пользователей;
– изменение правил разграничения доступа;
– полномочий пользователей.
Действия администратора записываются в журнал событий, хранящийся в базе данных. Для того чтобы просмотреть зарегистрированную информацию, необходимо зайти в вебинтерфейс под учетной записью главного администратора и на вкладке «Монитор» выбрать
раздел «Аудит событий».
Чтобы посмотреть действия администратора по изменению учетных данных пользователей, нужно в поле «Период» ввести период времени, по которому необходимо сформировать
отчет, в поле «Тип» выбрать тип записи «Редактирование пользователей» в поле «Администратор» выбрать администратора, чьи действия необходимо посмотреть и нажать кнопку
«Показать» (рисунок 70).
68
Рисунок 70 – Журнал редактирования пользователей
4.5.6
Анализ регистрационной информации
Действия администраторов ПК «Интернет-шлюз Ideco ICS 6» фиксируются средствами веб- интерфейса и записываются в базу данных ПК «Интернет-шлюз Ideco ICS 6». Это
позволяет определить администратора и время выполнения того или иного действия.
Просмотреть события можно в подразделе «Аудит событий» раздела «Монитор». Для
вывода конкретных типов событий можно использовать фильтр: по дате, по типу, по администратору.
По каждому событию фиксируются следующие параметры:
– Дата – дата и время изменения БД.
69
– Событие – тип события (код): редактирование пользователя, редактирование профилей выхода в Интернет и т. д.
– Результат попытки – успешная/не успешная
– Комментарий – пояснение, что было изменено или создано.
– Хозяин – пользователь, который произвел действие (идентификатор).
ПК «Интернет-шлюз Ideco ICS 6» так же средствами системного журнала rsyslog обеспечивает регистрацию и учет фильтруемых пакетов и регистрацию запуска задач. При возникновении события, связанного с фильтрацией сетевого пакета, rsyslog регистрирует событие и
делает запись в системном файле журнале, содержащую адрес, время и результат фильтрации
(аналогично для событий по запуску задач, старту и рестарту системы).
4.6
4.6.1
Контроль целостности
Контроль целостности программной и информационной части
ПК «Интернет-шлюз Ideco ICS 6» обладает системой проверки целостности программной и информационной части, основанной на использовании программы FIX-UNIX 1.0.
При сборке дистрибутива ПК «Интернет-шлюз Ideco ICS 6» программой ФИКС-Unix 1.0
формируется статический список с контрольными суммами программной части.
При загрузке ПК «Интернет-шлюз Ideco ICS 6» программа ФИКС-Unix 1.0 осуществляет проверку программной части системы по контрольным суммам программной части. Если
найдено несоответствие, на локальной консоли выведется диагностическое сообщение и дальнейший процесс загрузки будет приостановлен до дальнейших распоряжений администратора.
Проверка целостности программной части по контрольным суммам осуществляется
программой ФИКС-Unix 1.0 с использованием алгоритма «Уровень-3», сертифицированного
ФСТЭК России.
При загрузке программной части программой ФИКС-Unix 1.0 проверяется целостность
информационной части. Если обнаружено нарушение целостности информационной части, ПК
«Интернет-шлюз Ideco ICS 6» переходит в безопасный режим работы, при котором предотвращается дальнейшее нарушение целостности информационной части и возможно восстановление
информационной части из резервных копий.
Дополнительно могут использоваться другие методы.
4.6.2
Проверка целостности программной и информационной части
Зайдите в локальную консоль управления сервером. Введите пароль администратора.
В меню перейдите в пункт «Сервис» и выберите пункт меню «Проверить целостность файлов»
(рисунок 71).
70
Рисунок 71 – Проверка целостности файлов
Запустится проверка программой ФИКС-Unix 1.0 целостности программной части на
сервере, о чем сообщит индикатор занятости в правом верхнем углу (рисунок 74).
Проверка занимает порядка несколько минут, на протяжении которых на экран не
будет выводится никакой информации.
Если проверка прошла успешно, то по окончании проверки выведется сообщение «ICHECK:
OK!» (рисунок 72):
Рисунок 72 – Проверка целостности файлов не выявила изменений
Если проверка обнаружила изменения, выведется сообщение «ICHECK: FAILED» и
71
список файлов, в которых обнаружено изменение (рисунок 73):
Рисунок 73 – Проверка целостности файлов выявила изменения в файле web_backend
4.6.3
Проверка целостности файлов по контрольным суммам компонент
СЗИ
Для проверки целостности файлов по контрольным суммам компонент СЗИ зайдите в
веб-интерфейс под учетной записью администратора.
В web-интерфейсе перейдите на вкладку «Безопасность» и откройте пункт «Контроль
целостности установки». Нажмите кнопку «Обзор» и выберите prj-файл, содержащий контрольные суммы компонент СЗИ.
После загрузки файла контрольных сумм начнется проверка программой ФИКС-Unix 1.0
контрольных сумм на сервере, о чем сообщит индикатор занятости в правом верхнем углу (рисунок 74).
Рисунок 74 – Проверка целостности файлов
После окончания проверки выведется информация о результате проверки.
72
Если проверка не выявила изменений, выведется сообщение «ICHECK: OK» (рисунок 75).
Рисунок 75 – Проверка целостности файлов не выявила изменений
Если проверка выявила несоответствие представленных файлов представленным контрольным суммам, выведется сообщение «ICHECK: FAILED!» (рисунок 76) и список скомпрометированных файлов.
Рисунок 76 – Проверка целостности файлов выявила изменения в файле web_backend
4.7
4.7.1
Восстановление
Процедура восстановления после сбоев и отказов оборудования
В ПК «Интернет-шлюз Ideco ICS 6» используется журналируемая файловая система и
транзакционный подход при работе с базой данных, что гарантирует свойства восстановления
ПК «Интернет-шлюз Ideco ICS 6» после серьезных сбоев, в том числе и аппаратных.
После аппаратного сбоя (например, отключение питания), который привел к выключению ПК «Интернет-шлюз Ideco ICS 6», при последующей загрузке утилита e2fsck выполнит
проверку и восстановление (если требуется) файловой системы по ее журналу.
После этого будет выполнена проверка целостности программной и информационной
части ПК «Интернет-шлюз Ideco ICS 6», если целостность не нарушена, то ПК «Интернетшлюз Ideco ICS 6» полностью восстановит свою работоспособность.
Транзакционный подход при работе с базой данных гарантирует сохранность БД в
случае сбоя: это означает, что при возникновении нештатной ситуации транзакция либо применяется полностью, либо откатывается.
73
Так же в ПК «Интернет-шлюз Ideco ICS 6» есть специальная управляющая программа
watchdog. При помощи нее ПК «Интернет-шлюз Ideco ICS 6» определяет сбои в работе сервисов
и автоматически перезапустит сервис. В случае критической ситуации watchdog может принять
решение об автоматической перезагрузке сервера. Если система не может восстановить работоспособность автоматически, то переходит в защищенный режим «SAFEMODE», в этом режиме
блокируется прохождение пакетов и функционирует только необходимый минимум программ,
в этом случае можно восстановить данные информационной части воспользовавшись резервными копиями, созданными через систему резервного копирования ПК «Интернет-шлюз Ideco
ICS 6».
4.7.2
Процедура восстановления программной части
В случае, если ПК «Интернет-шлюз Ideco ICS 6» не может самостоятельно восстановить программную часть, имеется возможность восстановления программной части с инсталляционного носителя.
Для это загрузите сервер, подлежащий восстановлению, с инсталляционного носителя
ПК «Интернет-шлюз Ideco ICS 6». В меню выберите пункт «Восстановление» (рисунок 77) и
нажмите «OK»:
Рисунок 77 – Восстановление программной части
Начнется процедура восстановления программной части, после которой будет предложено перезагрузить сервер.
4.7.3
Процедура восстановления информационной части
Для процедуры восстановления информационной части понадобятся резервные копии
базы данных. Процедура создания резервных копий описана в разделе 6.2.1.
Для восстановления базы данных пользователей необходимо загрузить сервер в защищенном режиме («SAFEMODE»).
Для этого в локальном меню сервера в разделе «Перезагрузка» выберите пункт «Перейти в SAFEMODE», показанный на рисунке 78.
74
Рисунок 78 – перезагрузка сервера
После загрузки сервера в режиме «SAFEMODE», перейдите в раздел хранения резервных копий БД локального меню «Резервное копирование» → «Локальные резервные копии
БД». Выберите нужную вам резервную копию базы данных и нажмите кнопку «Загрузить».
После того, как резервная копия базы данных будет успешно восстановлена в системе,
перезагрузите сервер в обычном режиме.
Примечание.
Если вы копируете резервные копии на новый жесткий диск, например, при переустановке сервера, то после восстановления БД и конфигурации из резервной копии
вам необходимо заново пройти процесс активации.
4.7.4
Процедура обновления и проверки целостности обновлений
Для того чтобы инициировать процесс обновлений, необходимо зайти в локальное меню, ввести пароль от локального меню, выбрать пункты меню «Сервис» → «Проверить наличие
обновлений и обновить сейчас».
После этого запускается процедура загрузки обновлений, которая делает следующее:
1. Проверяется наличие активной подписки. Если срок подписки истек, выдается соответствующее сообщение и процедура обновления прекращается.
2. Запрашивается логин и пароль для доступа к Центру сертифицированных обновлений. Логин и пароль для доступа к Центру сертифицированных обновлений указываются в формуляре в разделе «Гарантийные обязательства».
3. Из Центра сертифицированных обновлений загружается пакет обновления.
4. Загруженный пакет обновления проверяется на целостность. В случае если целостность нарушена, загруженный пакет удаляется и процедура обновления прекращается.
После успешной загрузки обновления необходимо сделать полную перезагрузку, во время которой система обновится из скачанного пакета обновлений.
75
5
АДМИНИСТРИРОВАНИЕ. ДОПОЛНИТЕЛЬНАЯ
ФУНКЦИОНАЛЬНОСТЬ
5.1
5.1.1
Подключение к провайдеру
Подключение по Ethernet
Прямое подключение по Ethernet является наиболее распространенным. Для настройки
подключения в web-интерфейсе необходимо перейти в меню «Сервер» → «Интерфейсы». Вы
увидите перечень существующих сетевых интерфейсов, представленный на рисунке 79:
Рисунок 79 – Перечень сетевых интерфейсов
Для корректной работы интернет-шлюза необходимо, как минимум, два Ethernet-интерфейса. Для подключения к интернет-провайдеру используется внешний интерфейс, в то
время как внутренний необходим для подключения к локальной сети предприятия.
5.1.1.1
Ручная настройка
Выберите в списке (рисунок 80) внешний Ethernet-интерфейс. На экране появятся его
параметры, которые необходимо определить.
Рисунок 80 – Перечень сетевых интерфейсов
Как правило, вся необходимая информация содержится в договоре с вашим интернетпровайдером:
Имя интерфейса
Укажите любое имя, с помощью которого вы будете в дальнейшем идентифицировать интерфейс, например ISP.
Включен
Отметьте для того, чтобы активировать интерфейс.
Роль
Выберите «External».
76
Сетевая карта
Выберите из списка сетевой адаптер, который будет использоваться для подключения к интернет-провайдеру.
IP-адреса
Вы можете назначить на интерфейс несколько IP-адресов. Для этого укажите IPадрес, маску сети и нажмите кнопку «Добавить». Как минимум, должен быть указан
хотя бы один IP-адрес.
Шлюз по умолчанию
Укажите IP-адрес шлюза по умолчанию.
DNS-сервер 1
Укажите IP-адрес первичного DNS-сервера.
DNS-сервер 2
Укажите IP-адрес вторичного DNS-сервера.
Основной
Отметьте для того, чтобы сделать интерфейс основным.
Примечание.
Интерфейс, помеченный как основной, используется по умолчанию для обработки
трафика пользователей. Это нужно в случае, когда в интернет-шлюзе ПК «Интернет-шлюз Ideco ICS 6» создано несколько Ethernet-интерфейсов с ролью External.
5.1.1.2
Автоматическая настройка
Если ваш интернет-провайдер поддерживает возможность автоматической настройки
Ethernet-интерфейса с помощью протокола DHCP, то вы можете воспользоваться ей. Для этого
выберите в списке внешний Ethernet-интерфейс, и отметьте пункт «Автоматическая конфигурация через DHCP».
После заполнения всех полей еще раз убедитесь в корректности введенных значений.
Если вся информация указана верно, нажмите кнопку «Сохранить» для завершения настройки
подключения к интернет-провайдеру.
5.1.2
Подключение по PPPoE
Подключение с применением протокола PPPoE традиционно используется провайдерами, предлагающими подключение через xDSL. Для настройки такого подключения в webинтерфейсе необходимо перейти в меню «Сервер» → «Интерфейсы». Создайте новый интерфейс. Для этого в списке сетевых интерфейсов нажмите кнопку «Добавить». В появившемся
меню выберите тип интерфейса «PPPoE – подключение по PPPoE» и нажмите кнопку «Создать». Меню выбора подключения по PPPoE представлено на рисунке 81.
77
Рисунок 81 – выбор подключения по PPPoE
Обратите внимание на то, что в списке интерфейсов появился интерфейс PPPoE, выберите его и настройте параметры (рисунок 82).
Рисунок 82 – настройки подключения PPPoE
Перечень параметров при подключении по PPPoE:
Имя интерфейса
Укажите любое имя, с помощью которого вы будете в дальнейшем идентифицировать интерфейс, например ISP_PPPoE.
Включен
Отметьте для того, чтобы активировать интерфейс.
Роль
Выберите «External».
Логин
Укажите имя пользователя для подключения по PPPoE.
Пароль
Укажите пароль.
78
Сервис
Укажите идентификатор сервиса. Если вы не знаете, что указывать, оставьте поле
пустым.
Концентратор
Укажите идентификатор концентратора. Если вы не знаете, что указывать, оставьте
поле пустым.
Основной
Отметьте для того, чтобы сделать интерфейс основным. Это нужно в случае, когда
у вас несколько интерфейсов с ролью «External».
Переподключение
Укажите часы, в которые необходимо принудительно произвести подключение к
интернет-провайдеру.
Использовать DNS провайдера
При подключении получить адреса DNS сервера, обязательно поставьте эту галочку
при настройке РРРоЕ.
Доменное имя
При заполнении этого поля в HOSTS создается запись, ассоциирующая адрес интерфейса с указанным именем.
Проверка связи
Укажите в этом поле адрес любого популярного внешнего ресурса (например, 8.8.
8.8), этот адрес нужно только для настройки резервирования каналов.
Номер резервного интерфейса
Выберите в этом поле интерфейс на который должно произойти переключение при
обрыве.
MTU
Задайте размер MTU (по умолчанию этого делать не надо поскольку большинство
подключений проходят при стандартном размере MTU).
Настройки подключения по PPPoE показаны на Рисунке 4.1.5.
После заполнения всех полей еще раз убедитесь в корректности введенных значений.
Если вся информация указана правильно, нажмите кнопку «Сохранить». Для завершения настройки подключения требуется выполнение мягкой перезагрузки ПК «Интернет-шлюз Ideco
ICS 6».
Примечания:
1. Внешний интерфейс Ethernet в данной схеме подключения нужен только для управления модемом, поэтому если вы не хотите чтобы веб-интерфейс модема был доступен из локальной сети, то отключите Внешний интерфейс Ethernet.
2. Обратите внимание на статью «Особенности подключения через ADSL-модем».
79
Для отслеживания состояния соединения перейдите в меню «Пользователи». В группе
«Все» вы обнаружите, что была создана учетная запись, имя которой совпадает с именем
созданного интерфейса. Также в имени учетной записи указывается состояние подключения:
UP интерфейс подключен.
GOING UP производится подключение.
DOWN подключение отсутствует.
5.1.3
Подключение по PPTP
Подключение с применением протокола PPTP иногда используется интернет-провайдерами в целях обеспечения более надежной авторизации. Для настройки такого подключения
в web-интерфейсе необходимо перейти в меню «Сервер» → «Интерфейсы».
Создайте новый интерфейс. Для этого в списке сетевых интерфейсов нажмите кнопку
«Добавить». В появившемся меню выберите тип интерфейса «PPTP – подключение по VPN» и
нажмите кнопку «Создать». Меню выбора подключения по PPTP представлено на рисунке 83.
Рисунок 83 – выбор подключения по PPTP
Обратите внимание на то, что в списке интерфейсов появился интерфейс PPTP: выберите его. Теперь настройте все параметры, необходимые для подключения к интернет-провайдеру по протоколу PPTP (рисунок 84).
80
Рисунок 84 – настройки подключения PPTP
Перечень параметров:
Имя интерфейса
Укажите любое имя, с помощью которого вы будете в дальнейшем идентифицировать интерфейс, например ISP_PPTP.
Включен
Отметьте для того, чтобы активировать интерфейс.
Роль
Выберите «External».
VPN-сервер
Укажите IP-адрес VPN-сервера.
Логин
Укажите имя пользователя для подключения по PPTP.
Пароль
Укажите пароль.
Шифрование MPPE
Отметьте, если интернет-провайдер требует шифровать передаваемый трафик.
Основной
Отметьте для того, чтобы сделать интерфейс основным. Это нужно в случае, когда
у вас несколько интерфейсов с ролью «External».
81
Переподключение
Укажите часы, в которые необходимо принудительно произвести подключение к
интернет-провайдеру.
Использовать DNS провайдера
При подключении получить адреса DNS сервера, обязательно поставьте эту галочку
при настройке PPTP.
Доменное имя
При заполнении этого поля в HOSTS создается запись, ассоциирующая адрес интерфейса с указанным именем.
Проверка связи
Укажите в этом поле адрес любого популярного внешнего ресурса (например, 8.8.
8.8), этот адрес нужно только для настройки резервирования каналов.
Номер резервного интерфейса
Выберите в этом поле интерфейс на который должно произойти переключение при
обрыве.
MTU
Задайте размер MTU (по умолчанию этого делать не надо поскольку большинство
подключений проходят при стандартном размере MTU).
Настройки подключения по PPTP показаны на рисунке 84.
После заполнения всех полей еще раз убедитесь в корректности введенных значений.
Если вся информация указана правильно, нажмите кнопку «Сохранить».
Если адрес PPTP-сервера не входит в сеть на внешнем интерфейсе, через который
должно идти подключение, то необходимо добавить маршрут. Этим маршрутом мы описываем,
что адрес VPN сервера находится за шлюзом на внешнем физическом интерфейсе. Перейдите
в меню «Сервер» → «Сетевые параметры» web-интерфейса и выберите вкладку «Маршруты»,
далее нажмите кнопку «Добавить» и заполните поля, определяющие назначение маршрута.
Перечень параметров для описания маршрута трафика пользователей в удаленные
сети через шифрованные туннели связи:
SRC/маска:порт
Адрес источника. В данном случае оставьте пустым.
DST/маска:порт
Адрес назначения. Укажите здесь IP-адрес PPTP-сервера с маской /32 или /255.
255.255.255.
Шлюз, IP/Интерфейс
Укажите IP-адрес шлюза физического интерфейса, через который должно проходить подключение.
Протокол
Оставьте поле пустым.
82
FORCE
Оставьте поле пустым.
SNAT
Оставьте поле пустым.
Для завершения настройки подключения выполните мягкую перезагрузку ПК «Интернет-шлюз Ideco ICS 6».
Для отслеживания состояния соединения перейдите в меню «Пользователи». В корневой папке вы обнаружите, что была создана учетная запись, имя которой совпадает с именем
созданного интерфейса. Также в имени учетной записи указывается состояние подключения:
UP интерфейс подключен.
GOING UP производится подключение.
DOWN подключение отсутствует.
5.1.4
Подключение по L2TP
Подключение с применением протокола L2TP иногда используется интернет-провайдерами в целях обеспечения более надежной авторизации. Для настройки такого подключения
в web-интерфейсе перейдите в меню «Сервер» → «Интерфейсы». Создайте новый интерфейс.
Для этого в списке сетевых интерфейсов нажмите кнопку «Добавить». В появившемся меню
выберите тип интерфейса «L2TP – подключение по L2TР» и нажмите кнопку «Создать». Меню
выбора подключения по PPTP представлено на рисунке 85.
Рисунок 85 – выбор подключения по L2TP
Обратите внимание на то, что в списке интерфейсов появился интерфейс L2TP: выберите его. Теперь определите все параметры, необходимые для подключения к интернетпровайдеру по протоколу L2TP (рисунок 86).
83
Рисунок 86 – настройки подключения L2TP
Перечень параметров при подключении по PPTP:
Имя интерфейса
Укажите любое имя, с помощью которого вы будете в дальнейшем идентифицировать интерфейс, например ISP_L2TP.
Включен
Отметьте для того, чтобы активировать интерфейс.
L2TP-сервер
Укажите IP-адрес или доменное имя L2TP-сервера.
Через интерфейс
Выберите интерфейс через который должно проходить подключение.
Логин
Укажите имя пользователя для подключения по L2TP.
Пароль
Укажите пароль.
Основной
Отметьте для того, чтобы сделать интерфейс основным. Это нужно в случае, когда
у вас несколько интерфейсов с ролью «External».
Переподключение
Укажите часы, в которые необходимо принудительно произвести подключение к
интернет-провайдеру.
Доменное имя
При заполнении этого поля в HOSTS создается запись, ассоциирующая адрес интерфейса с указанным именем.
84
Проверка связи
Укажите в этом поле адрес любого популярного внешнего ресурса (например, 8.8.
8.8), этот адрес нужно только для настройки резервирования каналов.
Номер резервного интерфейса
Выберите в этом поле интерфейс на который должно произойти переключение при
обрыве.
MTU
Задайте размер MTU (по умолчанию этого делать не надо поскольку большинство
подключений проходят при стандартном размере MTU).
Настройки подключения L2TP показаны на рисунке 86.
После заполнения всех полей еще раз убедитесь в корректности введенных значений.
Если вся информация указана правильно, нажмите кнопку «Сохранить». Для завершения настройки подключения требуется выполнение мягкой перезагрузки ПК «Интернет-шлюз Ideco
ICS 6».
Для отслеживания состояния соединения перейдите в меню «Пользователи». В корневой папке вы обнаружите, что была создана учетная запись, имя которой совпадает с именем
созданного интерфейса. Также в имени учетной записи указывается состояние подключения:
UP интерфейс подключен.
GOING UP производится подключение.
DOWN подключение отсутствует.
5.1.5
Одновременное подключение к нескольким провайдерам
Возникают ситуации, когда требуется наличие нескольких подключений к интернетпровайдерам. Вот некоторые из них:
– Необходимое настроить резервирование основного канала, чтобы при его отключении весь трафик перекидывался на резервный канал.
– Необходимо снизить нагрузку на основное подключение к интернет-провайдеру за
счет распределения трафика между несколькими подключениями. При этом часть
пользователей локальной сети будет выходить в сеть Интернет через неосновной
канал связи с провайдером.
– Использование более скоростного и дорогостоящего подключения к интернет-провайдеру для доступа в интернет сотрудников, чья трудовая деятельность чувствительна к качеству интернет-соединения, в то время как все остальные сотрудники
могут использовать менее скоростное и более дешевое соединение.
– Необходимо снизить нагрузку на основное подключение к интернет-провайдеру за
счет распределения трафика между несколькими подключениями. При этом сессии
будут поочередно перенаправлятся на основной и дополнительный Интернет-канал
одновременно от всех пользователей.
85
5.1.1.3
Подготовка
Создайте дополнительное подключение к интернет-провайдеру. Процесс создания подключений описан в разделе «Подключение к провайдеру». Таким образом, у вас на сервере
должно быть минимум два подключения к сети Интернет.
5.1.1.4
Ситуация 1: резервирование каналов
Нам потребуется пройти несколько шагов:
– настроить резервный профиль выхода в сеть Интернет;
– настроить резервирование между сетевыми интерфейсами.
5.1.1.4.1
Шаг 1. Создание и редактирование профилей
Нам предстоит создать профиль выхода в сеть Интернет с использованием резервного
подключения. Для этого необходимо в web-интерфейсе перейти в меню «Профили» → «Профили выхода в интернет». Для создания профиля нажмите кнопку «Создать профиль». В
появившемся окне укажите значения следующих параметров.
– Название – укажите название нового профиля, который будет использоваться для
выхода в интернет в случае обрыва на основном канале.
– Интерфейс – выберите резервное подключение к интернет-провайдеру.
– Начальный NAT-адрес – поле заполняется только в том случае, если на сетевом интерфейсе дополнительного подключения к интернет-провайдеру назначено несколько IP-адресов. В таком случае необходимо указать тот IP-адрес, который должен
использоваться для исходящего трафика. Если вы желаете использовать для трансляции исходящего трафика диапазон IP-адресов сетевого интерфейса, то в качестве
начального NAT-адреса укажите первый IP-адрес диапазона, а в качестве конечного
NAT-адреса – последний.
– Номер резервного профиля – это ключевые поле; при настройке резервного профиля тут мы указываем номер основного профиля (мы сейчас говорим про номер
профиля, а не про номер интерфейса!), а при настройке основного указываем номер резервного, таким образом мы задаем условие для переключения NAT в случае
обрыва и при восстановлении связи на основном канале.
Форма создания профиля представлена на рисунке 87.
86
Рисунок 87 – создание профиля
Нажмите кнопку «Сохранить». Новый профиль будет создан и доступен в списке профилей. Далее в новом профиле полностью продублируйте правила основного профиля. На этом
настройка профилей закончена, перейдем к настройке сетевых интерфейсов.
5.1.1.4.2
Шаг 2. Настройка резервирования между сетевыми интерфейса-
ми
Для переключения между интерфейсами отредактируйте настройки основного и резервного интерфейса, для этого перейдите в раздел web-интерфейса «Сервер» → «Интерфейсы». Отредактируйте 2 поля:
Проверка связи: укажите адрес публичного ресурса с высоким показателем отказоустойчивости (для этих целей хорошо подходит адрес google dns 8.8.8.8, который показан
в примере).
Номер резервного интерфейса: выберите номер интерфейса, на который должно произойти переключения в случае обрыва и восстановления; в настройках основного интерфейса мы указываем номер резервного, а настройках резервного номер основного.
Форма редактирования резервного интерфейса показана на рисунке 88.
87
Рисунок 88 – резервный сетевой интерфейс
После того как оба интерфейса отредактированы сделайте мягкую перезагрузку
ПК «Интернет-шлюз Ideco ICS 6».
5.1.1.5
Ситуация 2: распределение нагрузки по нескольким подключениям,
статическая балансировка
В описываемой схеме часть пользователей локальной сети будет иметь доступ к сети
Интернет или другим внешним сетям через дополнительный канал связи. Вам потребуется создать отдельный профиль выхода в сеть Интернет для этих пользователей, в соответствии с
которым будет осуществляться трансляция адресов (NAT). Также нужно будет создать маршрут, согласно которому трафик от пользователей будет направлен в нужный интерфейс. Если
в вашей сети используется прокси-сервер, обратите внимание на расположенный в конце этой
главы раздел, посвященный настройке прокси-сервера для работы с данной схемой.
Для создания маршрута перейдите в раздел web-интерфейса «Сервер» → «Сетевые
параметры» → «Маршруты». Здесь вы можете включить трансляцию адресов для трафика
пользователей. Таким образом, выбор профиля в настройках пользователей не будет иметь
значения, так как не будет влиять на прохождение трафика от клиента во внешние сети. Если
вы заранее знаете, что в будущем у вас не возникнет необходимости в тонкой настройке профиля, то можно ограничиться созданием маршрута с указанием флага «SNAT». В этом случае
пользователю необходимо назначить стандартный профиль. Тем не менее, рекомендуется на-
88
страивать полноценную схему с профилем и маршрутом без указания флага «SNAT».
Для удобства дальнейшей работы мы рекомендуем создать специальную группу пользователей. Для этой группы будут настроены параметры, определяющие правила выхода в сеть
Интернет с использованием нескольких подключений. Таким образом, при добавлении новых
учетных записей пользователей в группу им будут автоматически присвоены значения данных
параметров. Этот шаг не является обязательным.
Далее нам потребуется пройти несколько шагов:
– настроить профиль выхода в сеть Интернет;
– создать пул IP-адресов;
– настроить маршрутизацию трафика.
5.1.1.5.1
Шаг 1. Создание профилей
Нам предстоит создать профиль выхода в сеть Интернет с использованием нескольких подключений. Для этого необходимо в web-интерфейсе перейти в меню «Профили» →
«Профили выхода в интернет». Для создания профиля нажмите кнопку «Создать профиль».
В появившемся окне укажите значения следующих параметров.
– Название – укажите название нового профиля, который будет использоваться для
выхода в интернет через дополнительное подключение к интернет-провайдеру.
– Интерфейс – выберите дополнительное подключение к интернет-провайдеру.
– Начальный NAT-адрес – поле заполняется только в том случае, если на сетевом интерфейсе дополнительного подключения к интернет-провайдеру назначено несколько IP-адресов. В таком случае необходимо указать тот IP-адрес, который должен
использоваться для исходящего трафика. Если вы желаете использовать для трансляции исходящего трафика диапазон IP-адресов сетевого интерфейса, то в качестве
начального NAT-адреса укажите первый IP-адрес диапазона, а в качестве конечного
NAT-адреса – последний.
Форма создания профиля представлена на рисунке 89.
89
Рисунок 89 – создание профиля
Нажмите кнопку «Сохранить». Новый профиль будет создан и доступен в списке профилей.
5.1.1.5.2
Шаг 2. Создание пула адресов
Теперь, когда мы создали подключение и для него определили профиль выхода в сеть
Интернет, необходимо установить правила, по которым ПК «Интернет-шлюз Ideco ICS 6» будет определять, через какое именно подключение (основное или дополнительное) должен передаваться трафик пользователя. Для решения этой задачи на каждую учетную запись (или
группу пользователей) назначается пул IP-адресов. Таким образом, выбор подключения будет
осуществляться, основываясь на принадлежности учетной записи к той или иной подсети.
Если в вашей сети используется авторизация по протоколам PPTP или PPPoE (Авторизация по PPTP, Авторизация по PPPoE), то для этих пользователей потребуется создать
дополнительные пулы IP-адресов. В соответствии с пулами IP-адресов VPN пользователям
будут назначены IP-адреса из определенной IP-сети, соответствующей пулу IP-адресов. Перейдите в меню web-интерфейса «Профили» → «Пулы IP-адресов» и создайте пул для каждой
группы пользователей, нажав кнопку «Создать Пул». В появившемся окне введите название
пула и задайте диапазон IP-адресов (рисунок 90).
Важная информация Нужно учесть, что для каждого пула диапазон адресов должен лежать в пределах отдельной, уникальной IP-сети, не пересекающейся с другими сетями.
90
Рисунок 90 – создание пула IP-адресов
Затем в меню «Пользователи» необходимо каждой учетной записи пользователя поставить в соответствие определенный пул IP-адресов (рисунок 91).
Рисунок 91 – назначение пула IP-адресов для пользователя
После этого нажмите кнопку «Получить IP из пула» справа от поля «IP-адрес» (см.
рис 92). Теперь при подключении пользователя ему будет присвоен IP-адрес из выбранного
пула.
Рисунок 92 – назначение IP-адреса из пула
Назначение IP-адресов может быть произведено вручную. Если для клиентов сети используется авторизация по IP-адресу, с использованием Ideco Agent или через web, то на компьютерах пользователей нужно настроить IP-адреса из разных IP-сетей и указать эти IP-адреса
в настройках пользователей в меню web-интерфейса «Пользователи». Необходимо учесть, что
IP-сети должны быть уникальными в пределах локальной сети предприятия и не должны
пересекаться при этом с другими IP-сетями.
Также назначим пользователям нужный профиль выхода в интернет в соответствии с
каналом, через который пользователь должен выходить в сеть Интернет.
5.1.1.5.3
Шаг 3. Создание маршрута
Для маршрутизации трафика пользователей через разные каналы доступа в интернет
на основе их принадлежности к IP-сетям перейдите в меню «Сервер» → «Сетевые параметры»
web-интерфейса и выберите вкладку «Маршруты». Создадим маршрут для каждой IP-сети
или пула IP-адресов. Для этого нажмем кнопку «Добавить» и заполним поля, определяющие
назначение маршрута.
Перечень параметров маршрута для каждой IP-сети или пула IP-адресов:
SRC/маска:порт
Сеть источника. Укажите, из какой сети будут осуществляться подключения. Порт
указывать не нужно. Можно оставить поле пустым, если нет необходимости строго
ограничить область действия маршрута.
91
DST/маска:порт
Сеть назначения. Укажите, в какую сеть будут осуществляться подключения. Укажите 0.0.0.0/0, если необходимо маршрутизировать трафик в любую внешнюю
сеть. Вы можете указать адрес конкретной сети, если этот канал должен обеспечивать доступ к определенным сетям интернет-провайдера или отдельным ресурсам
сети Интернет.
Шлюз. IP или интерфейс
Для Ethernet интерфейса укажите шлюз провайдера, иначе выберите PPТP или
PPPoE интерфейс. Через этот интерфейс будет направлен целевой трафик.0
Протокол
Возможность ограничения действия маршрута по указанному протоколу: TCP, UDP
или ICMP.
%
Заполняется в случае настройки балансировки трафика. В данной схеме не используется.
FORCE
Маршрутизировать независимо от маски интерфейсов (использовать не рекомендуется).
SNAT
Принудительная трансляция адресов от имени интерфейса, шлюз которого указан
выше, независимо от профиля пользователя. Эта опция действительна, если в маршруте заполняется адрес источника (сеть или адрес хоста). В случае указания флага
– правила профиля пользователя не распространяются на трафик от пользователя,
удовлетворяющий этому маршруту. Если вы создали и настроили профиль с указанием нужного интерфейса для пользователей выше, то указывать флаг не нужно, и
трансляция адресов будет осуществляться согласно профилю.
Форма настройки маршрута для каждой IP-сети или пула IP-адресов приведена на
рисунке 93.
route-setup-for-ip-pool
Рисунок 93 – Настройка маршрута для каждой IP-сети или пула IP-адресов
92
5.1.1.6
Если вы используете прокси-сервер
По умолчанию прокси-сервер работает с web-трафиком только через основной интерфейс, вне зависимости от того, какие дополнительные каналы провайдеров настроены. Для
корректной маршрутизации и учета web-трафика необходимо перенаправить трафик на дополнительный интернет-канал в настройках прокси-сервера.
Перейдем в меню «Сервер» → «Прокси и контент-фильтр», выберем вкладку «Расширенные» и укажем правило маршрутизации в поле «Перенаправлять разных пользователей в
разные каналы» для работы с web-трафиком сети внешнего ресурса через IP-адрес интерфейса
дополнительного провайдера. Формат правила представлен на рисунке 94.
Рисунок 94 – Правило маршрутизации
Правило маршрутизации, которое вы указываете в настройках прокси-сервера позволяет определить подсеть, которой принадлежат пользователи, а также внешний IP-адрес, назначенный на дополнительный интернет-канал. Именно через этот канал и будет передаваться трафик пользователей из указанной подсети. В примере, представленном на Рисунке 4.1.13, определено правило, согласно которому трафик пользователей из сети 192.168.50.0/24 будет направлен в сеть Интернет через дополнительный интернет-канал с IP-адресом 217.24.176.231.
5.1.1.7
Ситуация 3: доступ к разным ресурсам сети Интернет через опре-
деленные каналы связи, статическая балансировка
Такая схема подключения к нескольким интернет-провайдерам часто применяется в
случае, когда некоторые ресурсы в сети Интернет тарифицируются дешевле через другого
интернет-провайдера, или в случае доступа к внутренним сетям дополнительного провайдера,
минуя основной канал связи.
Для настройки такой схемы необходимо создать подключения к дополнительным каналам интернета. В web-интерфейсе перейдите в меню «Сервер» → «Интерфейсы». Для создания подключения к интернет-провайдеру нажмите кнопку «Добавить», выберите нужный
тип подключения и настройте параметры интерфейса в соответствии с реквизитами интернетпровайдера, полученными ранее.
Для маршрутизации трафика пользователей в определенные подсети через дополнительные каналы связи перейдите в меню «Сервер» → «Сетевые параметры» web-интерфейса и
выберите вкладку «Маршруты». Создадим маршрут для каждого ресурса внешней сети. Для
этого необходимо нажать кнопку «Добавить» и заполнить поля, определяющие назначение
маршрута. Перечень параметров, описывающих маршрут, представлен в Таблице 4.1.7.
Перечень параметров для описания маршрута ресурса внешней сети:
SRC/маска:порт
93
Поле заполняется в том случае, если доступ к ресурсу нужно предоставить определенной группе пользователей вашей сети, выделенной в отдельную IP-сеть.
DST/маска порт
Укажите здесь IP-адрес сети ресурса в интернете или сети провайдера, к которому
нужно обеспечить доступ.
Шлюз, IP/Интерфейс
Укажите интерфейс доступа к ресурсу в сети Интернет. Выберите PPTP или PPPoE
интерфейс интернет-провайдера или укажите IP-адрес шлюза интернет-провайдера
в случае Ethernet подключения.
Протокол
Оставьте поле пустым. В этом случае маршрут будет работать по всем протоколам
связи.
%
Оставьте поле пустым, так как описываемая схема не подразумевает деления каналов доступа между пользователями в процентном соотношении.
FORCE
Маршрутизировать независимо от маски интерфейсов (использовать не рекомендуется).
SNAT
Отметьте, если требуется трансляция адресов. Эта опция действительна, если в
маршруте заполняется адрес источника (сеть или адрес хоста). В большинстве случаях при данной схеме подключения эта функция необходима.
Форма настройки маршрутизации пользователя в определенные подсети через дополнительные каналы связи приведена на рисунке 95. route-setup-for-balance
Рисунок 95 – Настройка маршрутизации пользователя
5.1.1.8
Ситуация 4: распределение нагрузки по нескольким подключениям,
динамическая балансировка
94
В описываемой схеме мы будем переадресовывать на дополнительный канал связи не
конкретных пользователей, а сетевые сессии от всех пользователей одновременно. Вам потребуется создать маршрут, согласно которому трафик от пользователей будет направлен в нужный
интерфейс в процентном соотношении. Это правило не распространяется на веб-трафик при
включенном прокси, поскольку прокси-сервер работает независимо от правил маршрутизации.
Для создания маршрута перейдите в раздел web-интерфейса «Сервер» → «Сетевые
параметры» → «Маршруты».
Перечень параметров для описания маршрута при динамической балансировке:
SRC/маска:порт
Сеть источника. Укажите, из какой сети будут осуществляться подключения. Порт
указывать не нужно. Можно оставить поле пустым, если нет необходимости строго
ограничить область действия маршрута.
DST/маска:порт
Сеть назначения. Укажите, в какую сеть будут осуществляться подключения. Укажите 0.0.0.0/0, если необходимо маршрутизировать трафик в любую внешнюю
сеть. Вы можете указать адрес конкретной сети, если этот канал должен обеспечивать доступ к определенным сетям интернет-провайдера или отдельным ресурсам
сети Интернет.
Шлюз, IP/Интерфейс
Для Ethernet интерфейса укажите шлюз провайдера, иначе выберите PPТP или
PPPoE интерфейс. Через этот интерфейс будет направлен целевой трафик.
Протокол
Возможность ограничения действия маршрута по указанному протоколу: TCP, UDP
или ICMP.
%
Укажите какой процент сессий должен перенаправляться на дополнительный канал
связи.
FORCE
Маршрутизировать независимо от маски интерфейсов (при динамической балансировке ставится автоматически).
SNAT
Отметьте, если требуется трансляция адресов. Эта опция действительна, если в
маршруте заполняется адрес источника (сеть или адрес хоста). При динамической
балансировке эта опция необходима.
Форма настройки маршрута для динамической балансировки приведена на рисунке 96.
95
Рисунок 96 – Настройка динамической балансировки
5.2
5.2.1
Управление пользователями
Дерево пользователей
Пользователи в интерфейсе управления ПК «Интернет-шлюз Ideco ICS 6» отображаются в виде дерева. Пользователи могут быть организованы в группы. Уровень вложенности
групп не ограничен. Дерево учетных записей пользователей доступно в разделе «Пользователи».
Древовидная структура легко отражает реальную структуру предприятия с подразделениями, отделами, офисами и позволяет облегчить управление большим количеством пользователей, назначая администраторов для отдельных групп. Такие администраторы групп могут
управлять доступом пользователей в интернет, создавать внутри своих групп других пользователей, группы и администраторов для нижележащих групп.
В ПК «Интернет-шлюз Ideco ICS 6» реализован принцип наследования, что позволяет легко задавать и изменять общие для пользователей параметры, определяя их для родительской группы – профиль, пул IP-адресов, параметры ограничений и разрешений. Принцип
наследования очень удобен для выполнения операций управления, осуществляемых по отношению ко всем пользователями группы.
Дерево пользователей представлено на рис 97.
96
Рисунок 97 – Дерево пользователей
В зависимости от установленных для пользователей параметров различают несколько
типов пользователей:
Пользователь, успешно прошедший процедуру авторизации.
Пользователь, для которого не установлен признак «NAT». Как правило, это учетные записи, созданные для серверов.
Пользователь с установленным признаком «Администратор технический».
Пользователь с установленным признаком «Главный администратор».
Пиктограмма пользователя может быть окрашена в разные цвета, обозначающие состояние пользователя:
В данный момент времени пользователь прошел процедуру авторизации, и ему был
предоставлен доступ в интернет.
Проверка учетной записи пользователя завершается с отрицательным результатом
(см. подробнее «Проверка пользователя»).
В данный момент времени пользователь не прошел процедуру авторизации, и ему
не был предоставлен доступ в интернет.
Учетная запись пользователя отключена.
При удалении пользователя или группы пользователей, удаляемый объект попадает в
специальный контейнер дерева пользователей: «Корзина». Пользователи находящиеся в «Корзине» не могут быть авторизованы, но сохраняют все свои свойства. Например, IP адрес уже
97
назначенный пользователю, находящемуся в «Корзине», не может быть назначен другому пользователю. Таким образом объекты находящиеся в Корзине не удалены из ПК «Интернет-шлюз
Ideco ICS 6» полностью, их можно восстановить из корзины в любой момент. Для полного
удаления пользователя или группы пользователей из ПК «Интернет-шлюз Ideco ICS 6» нужно
удалить их из «Корзины».
Помещенные в «Корзину» пользователи хранятся в ней в соответствии с иерархией в
которой они находились в дереве пользователей до помещения в «Корзину». Полностью перемещенные в корзину группы пользователей со всеми пользователями и подгруппами внутри
помечены значком «Корзины». Такие группы готовы к полному удалению с сервера. Группы,
часть пользователей которых находится в «Корзине», а часть по прежнему присутствует в
дереве пользователей, не отмечены таким значком.
Рисунок 98 – Типичная структура «Корзины» пользователей
5.2.2
Управление учетными записями пользователей
Для управления группами и учетными записями пользователей в дереве пользователей есть несколько иконок, расположенных над деревом. Каждая из пиктограмм отвечает за
определенное действие.
Элементы управления учетными записями:
Создать учетную запись пользователя.
Создать группу.
Удалить учетную запись пользователя или группу.
5.2.2.1
Создание учетной записи пользователя
Чтобы создать учетную запись в определенной группе, выберите эту группу (рисунок 99). Вы увидите в заголовке группы несколько элементов управления.
98
Рисунок 99 – Выбор группы
Создайте учетную запись пользователя в группе, нажав на соответствующую иконку.
Перед вами появится окно создания учетной записи пользователя, в котором нужно определить
ряд параметров. Параметры для создания учетной записи пользователя:
Пользователь
Укажите имя пользователя, для которого создается учетная запись, например, Иванов Иван.
Логин
Укажите логин, который будет применяться пользователем для прохождения процедуры авторизации в различных службах ПК «Интернет-шлюз Ideco ICS 6». Логин необходимо вводить латинскими символами с соблюдением регистра, например:
«i.ivanov».
Пароль
Укажите пароль. Пароль необходимо вводить латинскими символами с соблюдением
регистра. Пароль нового пользователя должен быть не короче 6 символов. Попытки
создания нового пользователя с паролем короче 6 символов будут отклонены.
Повторите пароль
Повторно укажите пароль для проверки.
Окно создания учетной записи пользователя представлено на рисунке 100.
Рисунок 100 – Создание учетной записи пользователя
Логин и пароль используются для авторизации и для подключения к web-интерфейсу
ПК «Интернет-шлюз Ideco ICS 6», если пользователь является администратором. Для учетных записей, импортированных из MS Active Directory (AD), проверка пароля осуществляется
средствами AD.
99
Важная информация Посмотреть или восстановить пароль учетной записи пользователя
нельзя, допускается только его изменение. Также рекомендуется напоминать пользователям о том, чтобы они обязательно сразу сменили пароль через web-интерфейс.
Теперь, когда вы определили все параметры, нажмите кнопку «Добавить». Произойдет
добавление учетной записи, у которой автоматически будут установлены значения следующих
параметров:
1. адрес NAT;
2. IP-адрес – автоматически устанавливается из пула, выбирается первый свободный
IP-адрес.
5.2.2.2
Создание группы
Выберите ту группу, в которой вы предполагаете создать новую (вы можете создать как
группу в корне дерева, так и дочернюю). Вы увидите в заголовке группы несколько элементов
управления, среди которых необходимо нажать на кнопку добавления группы. Появится окно,
в котором вам нужно будет указать название новой группы. Окно добавления группы показано
на рисунке 101.
Рисунок 101 – Добавление группы
5.2.2.3
Удаление учетной записи пользователя или группы
Для удаления учетной записи пользователя необходимо выбрать ее в дереве пользователей и нажать на кнопку удаления. Появится окно с требованием подтверждения удаления,
нажмите кнопку «ОК».
Удаление группы осуществляется аналогичным образом.
Важная информация При удалении учетной записи, она перемещается в папку «Корзина»,
из которой может быть впоследствии восстановлена. При удалении группы, в корзину перемещается вся группа, включая учетные записи пользователей, входящие в
нее. Также необходимо учитывать следующие особенности.
1. При проведении операции «Закрытие периода» осуществляется окончательное удаление учетной записи, включая статистику из баз данных;
2. У учетной записи, находящейся в корзине, невозможно изменять параметры.
5.2.2.4
Восстановление учетной записи пользователя или группы
100
Чтобы восстановить учетную запись пользователя из корзины, выберите вкладку «Корзина» в корневой папке «Все». В ней выделите нужную для восстановления учетную запись и
нажмите соответствующую кнопку «Восстановить», расположенную справа от имени учетной
записи.
5.2.2.5
Перемещение учетной записи пользователя или группы
Чтобы переместить учетную запись пользователя в другую группу, выделите этого
пользователя в веб-интерфейсе, на вкладке «Общие» найдите поле «В группе» и из выпадающего списка выберите группу куда надо переместить пользователя.
5.2.3
Административные учетные записи
В ПК «Интернет-шлюз Ideco ICS 6» существует два типа административных учетных
записей:
Главный администратор
Учетная запись с максимальными полномочиями в ПК «Интернет-шлюз Ideco ICS 6».
Эта запись присутствует в системе изначально и называется «Главный Администратор». Эта учетная запись может существовать только в единственном экземпляре и
не может быть удалена.
Технический администратор
Учетная запись, имеющая возможность управления учетными записями своей группы и дочерних групп.
Создание Технических администраторов позволяет достичь высокой гибкости управления учетными записями пользователей. Это особенно полезно для крупных предприятий, когда
существует необходимость в делегировании полномочий по управлению доступом в интернет
рабочих групп. В небольших предприятиях обычно достаточно одного администратора.
Главный администратор имеет следующие полномочия, которые не имеет Технический
администратор.
1. Редактирование пулов IP-адресов;
2. Редактирование профилей пользователей;
3. Редактирование правил межсетевого экрана;
4. Переопределение вручную следующих параметров учетной записи пользователя: IPадрес, пул, адрес NAT;
5. Управление службами Интернет-шлюза.
Технические администраторы, находящиеся в корневой группе, в отличие от Технических администраторов других групп, имеют дополнительные возможности.
1. Смена профиля учетной записи пользователя;
2. В случае необходимости могут вручную исправлять баланс пользователей и групп.
101
Все Технические администраторы, кроме Главного администратора, имеют следующие
ограничения:
1. Не имеют возможности изменять параметры группы, в которой находятся сами;
2. Не имеют возможности изменять учетные записи Технических администраторов одного уровня с собой, то есть находящихся непосредственно в этой же группе.
Важная информация В целях обеспечения высокого уровня информационной безопасности
все действия, выполняемые от административных учетных записей, журналируются
и доступны в разделе «Меню» → «Аудит событий».
5.2.4
Настройка учетных записей пользователей
Настройка пользователей осуществляется в разделе «Пользователи». Чтобы определить параметры учетной записи пользователя, выберите ее в дереве пользователей нажатием
мышью. В правой части экрана появятся параметры выделенной учетной записи. В случае,
если вы желаете изменить параметры всех пользователей, входящих в группу, вам нужно выделить в дереве пользователей соответствующую группу.
Все настраиваемые параметры разделены по нескольким категориям:
Общие
Основные параметры.
Почта
Параметры, отвечающие за создание почтового ящика, а также управления доступом к коммуникационным службам ПК «Интернет-шлюз Ideco ICS 6».
Ограничения
Параметры, отвечающие за управление доступом пользователя к сети Интернет.
Здесь определяются параметры сетевого фильтра и контент-фильтра.
Статистика
Статистика по потреблению пользователем интернет-трафика.
Финансы
Модуль управления финансами. Используется для установки квот.
5.2.4.1
Общие настройки
Раздел общих настроек включает в себя множество основных параметров, определяющих статус учетной записи пользователя. Общие настройки разделены на базовые (рисунок 102) и дополнительные (рисунок 103).
Общие настройки, базовые параметры:
Пользователь
Имя пользователя, для которого создается учетная запись, например, Иванов Иван.
102
Логин
Логин, который будет применяться пользователем для прохождения процедуры авторизации в различных службах ПК «Интернет-шлюз Ideco ICS 6». Логин необходимо вводить латинскими символами с соблюдением регистра, например, i.ivanov.
Пароль
Функция изменения пароля для учетной записи пользователя.
В группе
Группа, в которую входит данный пользователь.
IP-адрес
IP-адрес, который закреплен за данной учетной записью.
MAC-адрес
MAC-адрес сетевого адаптера, которому назначен IP-адрес, закрепленный за учетной записью.
Авторизация
Тип авторизации. Подробнее см. в разделе «Типы авторизации».
Профиль
Профиль для учета стоимости трафика пользователя.
NAT
Использование технологии NAT для предоставления пользователю доступа в сеть
Интернет.
Пул
Пул IP-адресов, из которого учетной записи будет присваиваться IP-адрес.
Общие настройки, дополнительные параметры:
Запретить вход
Запретить пользователю авторизоваться на интернет-шлюзе ПК «Интернет-шлюз
Ideco ICS 6». Это означает, что он не сможет пользоваться ресурсами сети Интернет.
Разрешить VPN из интернет
Разрешить подключаться к серверу ПК «Интернет-шлюз Ideco ICS 6» по VPN из
интернета. Подробнее см. в разделе «VPN».
Администратор технический
Присвоить пользователю статус Администратора технического. Подробнее см. в разделе «Административные учетные записи».
Включить контроль утечек информации
Включить защиту от утечек информации с помощью модуля DLP для данной учетной записи пользователя. Подробнее см. в разделе 5.5.8.
Постоянно подключен
Параметр, который позволяет включить постоянную статическую авторизацию, работает только в случае авторизации по IP-адресу.
103
Рисунок 102 – базовые параметры пользователя
104
Рисунок 103 – дополнительные параметры пользователя
Разрешить переподключение
Разрешить переподключение пользователя с другого сетевого устройства, например,
в случае смены рабочего места. Не может быть применено к группе.
Синхронизация с LDAP/AD
Групповой параметр. Позволяет синхронизировать пользователей в группе с Active
Directory.
5.2.4.2
Почта
В этом разделе находятся параметры, с помощью которых для учетной записи может
быть предоставлен доступ к работе с почтовым сервером.
Параметры настройки почты:
Почтовый ящик пользователя
Этот параметр позволяет задать пользователю название почтового ящика, отличное
от его логина.
E-mail для уведомлений
Адрес электронной почты, на который будут отправляться уведомления от сервера.
Разрешить почту
Автоматически создает аккаунт на Почтовом сервере. Подробнее см. в разделе «Почтовый сервер».
Переадресовать почту
Переадресовать входящую почту на E-mail, указанный для уведомлений.
Доступ к почте из интернета
Разрешить доступ к почтовому ящику из сети Интернет. Подробнее см. в разделе
«Почтовый сервер».
Автоответчик для почты
Активирует автоответчик на почтовом ящике.
Ограничения
Раздел включает в себя различные наборы правил, ограничивающих доступ пользователя в сеть Интернет.
105
5.2.4.3
Ограничения
Настройки ограничений:
Ограничения пользовательского сетевого фильтра
Назначение предопределенных групп правил пользовательского сетевого фильтра
на учетную запись или группу. Управление правилами пользовательского сетевого
фильтра подробно описан в разделе «Сетевой фильтр».
Ограничения контент-фильтра
Запрет доступа к определенным категориям web-ресурсов.
Ограничения сетевого фильтра приложений
Назначение предопределенных правил сетевого фильтра приложений. Управление
правилами фаерволла приложений подробно описано в разделе «Сетевой фильтр».
Ограничение возможности авторизации
Запрет (разрешение) авторизации с указанного диапазона IP-адресов (предназначен
для всех видов авторизации, кроме авторизации по IP).
Ограничения по времени подключения
Установление интервалов времени, в которые авторизация разрешена (запрещена).
Меню настроек ограничений доступа пользователя в интернет представлено на рисунке 104.
Рисунок 104 – настройки ограничений доступа пользователя в интернет
5.2.4.4
Статистика
Строго говоря, этот раздел не предназначен для настройки. Его задача – предоставление статистики потребления трафика по конкретной учетной записи пользователя или по
группе. Вам необходимо определить критерии, которые будут использованы для вывода статистической информации.
Критерии для вывода статистических данных:
Дата от
Дата начала периода, за который необходимо вывести статистику.
Дата до
Дата конца периода, за который необходимо вывести статистику.
106
Группировка
Критерий, по которому необходимо группировать выводимые данные.
Отдельно по пользователям
Разбить данные о трафике по пользователям, которые его генерировали.
Отдельно по подсетям
Разбить данные о трафике по правилам в профилях.
Src-порт
Диапазон сетевых портов источника трафика.
Dst-порт
Диапазон сетевых портов назначения трафика.
Стоимость
Эквивалент МБ трафика в усновных единицах.
Объем
Количество МБ трафика за указанный период.
Протокол
Сетевой протокол.
Направление
Направление трафика, входящий или исходящий.
Тарифный план
Профиль, определяющий стоимость МБ трафика.
Подсеть
Категория трафика, определенная в профиле.
Меню с настройками вывода статистических данных показано на рисунке 105.
Рисунок 105 – настройки вывода статистических данных
5.2.4.5
Финансы
Раздел «Финансы» предлагает гибкий инструмент, который может быть использован
для решения двух задач. Несмотря на то, что настройки предназначены для предоставления
107
доступа в интернет на платной основе, основная задача данного раздела – управление персональными и групповыми квотами на потребляемый трафик.
Настройки персональных и групповых квот:
Период
Период, на который устанавливается квота.
Выделить на период
Количество условных единиц трафика, выделяемых пользователю на период.
Предупреждать при остатке
Когда баланс достигнет указанного значения, отправлять пользователю уведомление на почту или на Ideco Agent.
Просмотр ограничений родителя
Разрешить пользователю просматривать ближайшее ограничение баланса вышестоящих групп.
Администратор финансовый
Разрешить пользователю изменять финансовые параметры пользователей в своей
группе и подгруппах.
Порог отключения
Когда баланс достигнет указанного значения, пользователю будет заблокирован доступ к сетям, отмеченным в профиле флажком «Блокировать при превышении лимита».
Абонентская плата
Автоматическое списание суммы со счета пользователя за каждый период, совпадающий с периодом автоматического обнуления баланса.
Обнуление баланса, дата
Позволяет обнулить баланс пользователя в указанный день, в дальнейшем баланс
будет обнуляться с заданной периодичностью. При этом поля «Остаток», «Расход»
и «Оплата» тоже обнуляются.
Отключить по дате
После указанной даты запретить пользователю авторизацию.
5.2.5
Интеграция с Active Directory
В ПК «Интернет-шлюз Ideco ICS 6» реализована возможность односторонней синхронизации с контроллером домена на базе Microsoft Active Directory. При этом импортируются
только учетные записи, исключая пароли. Это означает, что при прохождении пользователем
процедуры аутентификации, проверка будет осуществляться средствами Active Directory.
5.2.5.1
Подготовка
Во-первых, чтобы настроить синхронизацию с контроллером домена, вам необходимо
перейти в меню «Сервер» → «Сетевые параметры». В этом разделе вам необходимо активировать следующие пункты, показанные на рисунке 106.
108
– Включить авторизацию через LDAP/AD;
– Включить авторизацию VPN/PPPoE через домен.
Рисунок 106 – пункты меню «Сетевые параметры», необходимые для работы с Active
Directory
Выполните мягкую перезагрузку ПК «Интернет-шлюз Ideco ICS 6».
Теперь импортируйте пользователей из Active Directory:
1. Создайте новую группу пользователей;
2. В настройках группы установите признак «Синхронизация с LDAP/AD».
5.2.5.2
Ввод ПК «Интернет-шлюз Ideco ICS 6» в домен
После этого появится кнопка «Настройки LDAP/AD», нажмите ее.
Рисунок 107 – Мастер ввода ПК «Интернет-шлюз Ideco ICS 6» в домен
Теперь введите ПК «Интернет-шлюз Ideco ICS 6» в домен.
Параметры ввода в домен:
IP-адрес сервера AD
Укажите IP-адрес, по которому доступен сервер Active Directory.
Имя домена
Укажите имя домена.
Логин администратора домена
Укажите логин администратора домена.
Пароль администратора домена
Укажите пароль от учетной записи администратора домена.
109
Форма включения сервера ПК «Интернет-шлюз Ideco ICS 6» в домен Windows представлена на рисунке 108.
Рисунок 108 – Мастер ввода ПК «Интернет-шлюз Ideco ICS 6» в домен
Важная информация В логине и пароле администратора домена не должно быть спец. символов и кириллицы.
После заполнения всех полей нажмите кнопку «Ввести в домен». Далее нужно проверить связь с контроллером домена:
Рисунок 109 – проверка связи
Если все было сделано правильно, то нажав «Далее», вы увидите окно импорта пользователей.
5.2.5.3
Импорт учетных записей
Теперь, когда ПК «Интернет-шлюз Ideco ICS 6» введен в домен, импортируйте учетные
записи пользователей (рисунок 111).
В появившемся после ввода в домен окне (рисунок 110) вам необходимо указать следующие значения (некоторые параметры будет заполняются автоматически):
IP-адрес сервера AD
Укажите IP-адрес, по которому доступен сервер Active Directory.
Имя домена
Укажите имя домена.
LDAP группа
LDAP группа сервера Active Directory, в которой хранятся учетные записи пользователей.
Логин администратора домена
Укажите логин администратора домена.
Пароль администратора домена
Укажите пароль от учетной записи администратора домена.
110
Рисунок 110 – Настройки LDAP/AD
Нажмите кнопку «Импортировать пользователей». В появившемся дереве пользователей Active Directory (рисунок 111) отметьте те группы и учетные записи пользователей,
которые вы желаете импортировать в ПК «Интернет-шлюз Ideco ICS 6».
Рисунок 111 – Настройки LDAP/AD
Завершив выбор, нажмите кнопку «Импортировать».
Примечания:
1. Если вы импортируете пользователей из стандартной группы Users, то для успешного импорта надо вручную отредактировать Запрос (basedn) и вместо OU=Users
написать CN=Users.
2. По умолчанию одним запросом с контроллеров домена на базе Windows можно забрать не более 1000 пользователей; чтобы обойти это ограничение, можно импортировать пользователей частями в разные группы из разных ОU, либо воспользоваться
рекомендациями на сайте компании Microsoft:
http://support.microsoft.com/kb/315071
http://support.microsoft.com/kb/2009267
5.2.6
Проверка пользователя
Возможность учетной записи авторизоваться и подключиться к серверу, а также получить доступ в сеть Интернет зависит от большого количества параметров: как от ее собственных, так и от настроек родительских групп. Не удивительно, что иногда случаются ситуации,
111
когда, казалось бы, при корректных настройках пользователь все же не может получить доступ
в сеть.
Для того, чтобы проверить правильность настройки или определить причину, по которой пользователь не может подключиться или выйти в интернет, в ПК «Интернет-шлюз Ideco
ICS 6» реализована функция «Проверка возможности подключения и работы в интернет».
Она позволяет быстро определить причину, избавляя системного администратора от рутинной
работы по проверке всех параметров вручную.
Для проверки учетной записи выберите ее и нажмите на ссылку «Проверить возможность подключения». Перечень возможных действий с учетной записью представлен на рисунке 112.
Рисунок 112 – Возможные действия с учетной записью
В результате работы функции проверки будет выдано одно из следующих сообщений:
Пользователь отключен
Учетная запись пользователя деактивирована. Вы можете включить ее в разделе
настроек учетной записи.
Отключен один из родителей
Группа, которой принадлежит учетная запись пользователя, деактивирована. Вы
можете включить ее в разделе настроек учетной записи.
В ветке нет финансово-ответственного
При настроенном контроле финансовых пользователей в каждой ветке должен присутствовать пользователь – финансовый администратор, полномочия которого распространяются на все подгруппы. Используется провайдерами, ведущими работу с
отчетными документами по предоставлению трафика клиентам. Ошибка возникает
при наличии группы (ветви) без финансового администратора. Пользователь ветви
в таком случае авторизованы не будут.
Параметры указаны верно, превышен лимит
Все параметры учетной записи пользователя указаны корректно. Отсутствие доступа в интернет вызвано превышением установленного лимита трафика.
Все параметры пользователя указаны верно
Все параметры учетной записи пользователя указаны корректно. Доступен выход в
сеть Интернет.
Пользователь не существует
Учетная запись пользователя не существует.
Пользователь удален
Учетная запись пользователя была удалена.
112
Структура пользователей нарушена
Нарушены связи в древовидной структуре списка пользователей и групп в базе данных. Как правило, это связано с серьезными нарушениями в структуре БД и требует
вмешательства службы технической поддержки.
Нет профиля
Пользователю не назначен профиль.
Профиль отключен
Профиль, назначенный на учетную запись пользователя, деактивирован.
Пул IP-адресов отключен
Пул IP-адресов, назначенный на учетную запись пользователя, деактивирован.
5.3
5.3.1
Типы авторизации
Авторизация по IP-адресу
Данный тип авторизации предполагает, что авторизация пользователя будет осуществляться только по его IP-адресу и/или MAC-адресу.
Прежде всего убедитесь в том, что в разделе «Сервер» → «Сетевые параметры» активирован пункт «Включить авторизацию по IP», показанный на рисунке 113.
Рисунок 113 – Включение авторизации по IP
Чтобы включить авторизацию по IP-адресу, перейдите в общие настройки соответствующей учетной записи и включите авторизацию по IP. Также необходимо назначить IP-адрес
устройству, с которого пользователь будет получать доступ в сеть Интернет. Это можно сделать вручную или воспользоваться возможностью автоматического выбора из пула адресов (в
случае, если пул адресов указан), нажав на соответствующую кнопку в web-интерфейсе. Форма
назначения IP-адреса устройства представлена на рисунке 114
Рисунок 114 – Назначение IP-адреса устройства
Для включения дополнительной привязки по MAC-адресу его также необходимо указать в соответствующем поле. Вы можете сделать это вручную или автоматически. Учтите,
что для автоматического получения MAC-адреса сетевое устройство должно быть включено.
5.3.2
Авторизация по PPPoE
Авторизация по протоколу PPPoE предполагает авторизацию по защищенному сетевому туннелю между сетевым устройством пользователя и сервером. Аутентификация пользователя осуществляется по связке Логин/Пароль. При данном типе авторизации не требуется
113
назначение IP-адреса рабочей станции, так как IP-адрес будет автоматически назначен в случае успешной аутентификации и создания защищенного сетевого туннеля.
Прежде всего убедитесь, что в меню «Сервер» → «Сетевые параметры» активирован
пункт «Включить PPPoE сервер», представленный на рисунке 115.
Рисунок 115 – Включение авторизации по PPPoE
Теперь вы можете настроить авторизацию пользователей по протоколу PPPoE. Перейдите в общие настройки соответствующей учетной записи и включите пункт «Авторизация по
VPN PPTP, PPPoE», показанный на рисунке 116.
Рисунок 116 – Авторизация по VPN PPTP, PPPoE
Также необходимо убедиться в том, что для учетной записи указаны логин и пароль,
которые пользователь будет использовать для аутентификации. Форма для логина и пароля
приведена на рисунке 117.
Рисунок 117 – Настройка логина и пароля
Дополнительно необходимо указать IP-адрес. Он будет назначаться устройству, с которого осуществляется аутентификация пользователя. Вы можете указать IP-адрес вручную
или воспользоваться функцией автоматического выбора из пула адресов (в случае если выбран
пул), нажав на соответствующую кнопку в web-интерфейсе. Форма для назначения IP-адреса
изображена на рисунке 118.
Рисунок 118 – Назначение IP-адреса
5.3.3
Авторизация по PPTP
Авторизация по протоколу PPTP предполагает авторизацию по защищенному сетевому
туннелю между сетевым устройством пользователя и сервером. Аутентификация пользователя
осуществляется по связке Логин/Пароль. При данном типе авторизации не требуется назначение IP-адреса рабочей станции, так как IP-адрес будет автоматически назначен в случае
успешной аутентификации и создания защищенного сетевого туннеля.
114
Прежде всего убедитесь, что в меню «Сервер» → «Сетевые параметры» активирован
пункт «Включить PPPoE сервер», представленный на рисунке 119.
Рисунок 119 – Включение авторизации по PPTP
Теперь вы можете настроить авторизацию пользователей по протоколу PPTP. Перейдите в общие настройки соответствующей учетной записи и включите пункт «Авторизация по
VPN PPTP, PPPoE», показанный на рисунке 120.
Рисунок 120 – Авторизация по VPN PPTP, PPPoE
Также необходимо убедиться в том, что для учетной записи указаны логин и пароль,
которые пользователь будет использовать для аутентификации. Форма для логина и пароля
приведена на рисунке 121.
Рисунок 121 – Настройка логина и пароля
Дополнительно необходимо указать IP-адрес. Он будет назначаться устройству, с которого осуществляется аутентификация пользователя. Вы можете указать IP-адрес вручную
или воспользоваться функцией автоматического выбора из пула адресов (в случае если выбран
пул), нажав на соответствующую кнопку в web-интерфейсе. Форма для назначения IP-адреса
изображена на рисунке 122.
Рисунок 122 – Назначение IP-адреса
5.3.4
Авторизация через Ideco Agent
Для управления доступом в интернет пользователей, у которых установлен способ
авторизации «Ideco Agent» либо «Ideco Agent + IP», используется специализированная программа-агент. Доступ будет обеспечен только в то время, когда пользователь авторизован с
помощью этой программы. Программа должна быть установлена на рабочей станции пользователя или запускаться с удаленного сервера при входе в систему, что возможно в случае
использования в сети домена Active Directory.
Программа-агент не влияет на другие механизмы авторизации. В случае применения
последних ее можно использовать для просмотра состояния баланса и приема сообщений.
115
Для авторизации с помощью программы-агента необходимо загрузить программу с
локального web-сайта и сохранить ее в произвольный каталог. Для скачивания программыавторизатора Ideco Agent выберите пункт меню «Авторизация», расположенный справа от на
странице авторизации при входе в систему.
Рисунок 123 – Стартовое меню
После нажатия на ссылку (рисунок 124) начнется автоматическое скачивание программы:
Рисунок 124 – Ссылка на скачивание программы-авторизатора IdecoAgent
Необходимым условием успешной авторизации с помощью IdecoAgent является указание в настройках сетевой карты в качестве шлюза и в качестве сервера DNS локального адреса
интернет-шлюза ПК «Интернет-шлюз Ideco ICS 6». При необходимости нужно разрешить в
межсетевом экране подключение на сетевой порт 800/TCP из внутренней сети.
После запуска программы необходимо ввести логин и пароль пользователя. Состояние
авторизации отображается иконкой в системном лотке.
Индикация статуса соединения в Ideco Агент:
Программа не активна
Идет подключение к серверу
Доступ в интернет разрешен
Сработал лимит предупреждения
Сработал лимит отключения
Произошла ошибка. Доступ в интернет запрещен.
В контекстном меню иконки программы доступны пункты:
Подключить
Отображение диалога подключения.
Отключить
Отключиться от сервера.
116
Информация
Отобразить информацию о подключении к интернет – баланс, порог отключения и
т.д.
Запускаться при входе в систему
Установить автоматический запуск программы при входе в Windows.
О программе
Вывод информации о программе авторизации.
Примечания:
1. При использовании Ideco Agent в домене AD рекомендуется расположить IdecoAgent.exe
на общем сетевом ресурсе и установить в политике входа в домен запуск приложения
IdecoAgent.exe с ключом domain. Таким образом, запуск агента будет централизован,
и не потребуется его установка на каждый компьютер.
2. При смене локального адреса ПК «Интернет-шлюз Ideco ICS 6» обязательно нужно
повторно скачать Ideco Agent с сайта, поскольку локальный адрес сервера встраивается в приложение при скачивании.
3. При использовании VPN-соединения с сервером для авторизации Ideco Agent работает, но его функциональность ограничена только просмотром статистики и отображением сообщений. Сам Ideco Agent VPN-соединение не устанавливает.
4. Для использования Ideco Agent при других типах авторизации для просмотра баланса убедитесь, что в профиле, который назначен пользователю, не запрещен трафик
локальной сети при превышении баланса. Для этого в web-интерфейсе сервера перейдите в раздел «Профили» → «Профили выхода в интернет» → «Профиль, указанный у пользователя» → «Локальная сеть» → «Редактировать» (пиктограмма
«Карандаш», расположенная в пункте «Действия») → «Блокировать при превышении лимита». Убедитесь, что этот пункт не отмечен (рисунок 125).
Рисунок 125 – Разрешение передачи трафика при превышении баланса
5.3.5
Авторизация через web-интерфейс
Данный тип авторизации предполагает, что любой запрос неавторизованного пользователя, сделанный через web-браузер, будет перенаправляться на специальную страницу авторизации ПК «Интернет-шлюз Ideco ICS 6». Для этого типа авторизации в качестве шлюза
по умолчанию и DNS-сервера обязательно должен быть указан IP-адрес локального сетевого
интерфейса ПК «Интернет-шлюз Ideco ICS 6».
Убедитесь в том, что в разделе «Сервер» → «Сетевые параметры» активированы
следующие пункты: «Включить другие способы авторизации» и «Авторизация через webинтерфейс», см. рисунок 126.
117
Рисунок 126 – Включение авторизации через web-интерфейс
Установите для соответствующей учетной записи пользователя тип авторизации «Через web». Теперь при попытке пользователя открыть с помощью web-браузера какой-либо ресурс в сети Интернет запрос будет переадресован на страницу авторизации (рисунок 127).
Рисунок 127 – Авторизация
После прохождения пользователем web-авторизации доступ в сеть Интернет будет
предоставлен до тех пор, пока авторизация не будет принудительно отменена. Для этого необходимо открыть в браузере web-интерфейс ПК «Интернет-шлюз Ideco ICS 6» и нажать кнопку
«Отключить» (рисунок 128).
Рисунок 128 – Отключение пользователя
Важная информация Одновременная работа авторизации через веб-интерфейс и NTLMаутентификации невозможна.
5.3.6
NTLM-авторизация
Данный тип авторизации является разновидностью авторизации через web-интерфейс.
Он разработан специально для авторизации учетных записей, которые были импортированы
из Active Directory.
Типы NTLM-авторизации:
Принудительная
Требует ручного ввода логина и пароля в специальном окне web-браузера.
118
Прозрачная
Если пользователь операционной системы Windows ранее осуществил вход в домен,
то в этом случае web-браузер попытается осуществить авторизацию автоматически с
использованием введенных ранее реквизитов. Этот тип авторизации работает только
с web-браузером Internet Explorer. Большинство других распространенных браузеров
не поддерживают технологию NTLM-авторизации, поэтому при их использовании
придется вручную ввести логин и пароль.
5.3.6.1
Принудительная NTLM-авторизация
Убедитесь в том, что в разделе «Сервер» → «Сетевые параметры» активированы следующие пункты: «Включить другие способы авторизации» и «NTLM-авторизация через Active
Directory» (см. рисунок 129.
Рисунок 129 – Настройка принудительной NTLM-авторизации
Теперь необходимо настроить учетную запись пользователя. Перейдите в общие настройки соответствующей учетной записи и включите авторизацию типа «Через Web». Теперь, при попытке пользователя открыть с помощью web-браузера какой-либо ресурс в сети
Интернет, появится специальное окно для ввода логина и пароля.
5.3.6.2
Прозрачная NTLM-авторизация
Для настройки прозрачной NTLM-авторизации в web-браузере Internet Explorer откройте меню «Свойства обозревателя» → «Безопасность». В появившемся меню выберите зону
«Интернет» и нажмите на кнопку «Другой». В появившемся окне найдите параметры «Проверка подлинности пароля» → «Вход» и выберите «Автоматический вход в сеть с текущим
именем пользователя и паролем». Настройка прозрачной NTLM-авторизации приведена на
рисунке 130.
119
Рисунок 130 – Настройка прозрачной NTLM-авторизации
Важная информация Одновременная работа авторизации через веб-интерфейс и NTLM
невозможна.
5.4
5.4.1
Туннельные соединения
OpenVPN
Эта технология построения защищенных каналов связи часто применяется в корпоративных сетях для связи территориально удаленных офисов предприятия в единую информационную инфраструктуру, обеспечивая обмен информацией между объединяемыми сетями.
Возможна настройка шифрованного туннеля с использованием сертификата сервера и публичного ключа для подключения клиентов.
ПК «Интернет-шлюз Ideco ICS 6» может подключаться по открытому ключу, загруженному на него с другого сервера, или авторизовывать клиентов, используя открытые ключи,
созданные им самим. Таким образом, возможна как выдача сервером собственных публичных
ключей, так и подключение к удаленным серверам, используя сгенерированный ими публичный ключ. В настройке туннеля участвуют два сервера, как правило, являющиеся шлюзами
в сеть Интернет из локальной сети предприятия. Инициировать создание туннеля по технологии OpenVPN может любая из сторон, аутентификация соединения при этом происходит на
сервере путем проверки предоставленного клиентом ключа с сертификатом сервера.
Перед настройкой сетевых интерфейсов нужно убедиться в том, что оба сервера имеют
публичный IP-адрес от интернет-провайдера.
Туннель может быть организован как между двумя серверами ПК «Интернет-шлюз
Ideco ICS 6», так и между ПК «Интернет-шлюз Ideco ICS 6» и другим сетевым устройством,
поддерживающем OpenVPN с аутентификацией по публичным ключам.
120
5.4.1.1
Организация туннеля между двумя серверами ПК «Интернет-шлюз
Ideco ICS 6»
Рассмотрим настройки интерфейса для сервера в центральном офисе, к которому будут подключаться устройства из других офисов. Для настройки туннеля перейдите в меню
«Сервер» → «Интерфейсы» и создайте новый интерфейс нажатием на кнопку «Добавить».
Выберите тип интерфейса «OpenVPN» (рисунок 131).
Рисунок 131 – Выбор подключения по OpenVPN
После создания интерфейса необходимо настроить все параметры подключении по
OpenVPN:
Имя интерфейса
Кратко опишите назначение интерфейса в инфраструктуре вашей сети.
Включен
Отметьте для того, чтобы активировать интерфейс.
Внешний IP-адрес
Укажите внешний публичный адрес этого сервера.
Локальный порт
Укажите UDP-порт для установления OpenVPN на стороне этого сервера.
Удаленная локальная сеть
Укажите адрес локальной сети удаленного сервера. В зависимости от этого адреса
автоматически пропишется маршрут.
Удаленный внешний IP-адрес
Укажите публичный IP-адрес удаленного сервера, с которым нужно организовать
защищенный канал связи.
Удаленный порт
Укажите UDP-порт для установления OpenVPN на стороне удаленного сервера.
Удаленный туннельный IP-адрес
Укажите защищенный адрес удаленного сервера. По умолчанию это 10.128.0.0, защищенный адрес на удаленном ПК «Интернет-шлюз Ideco ICS 6» должен отличаться
от защищенного адреса на этом сервере.
Сгенерировать ключ
Сгенерируйте публичный ключ, если удаленные сервера должны подключаться к
этому серверу. Как правило, центральный офис предоставляет публичные ключи
121
для подключения удаленных офисов к нему по этому ключу, а удаленные офисы
используют ключ главного сервера для подключения к серверу по этому ключу.
RSA-ключ в текстовой форме
Позволяет скопировать содержимое ключа в текстовой форме и отправить его администратору удаленного сервера по ICQ, почте и т.д.
Скачать ключ
Позволяет сохранить публичный ключ этого сервера на локальной машине для дальнейшей передачи на удаленный сервер. В дальнейшем удаленный сервер будет подключаться к этому серверу по выданному ему ключу. Как правило, используется
в центральном офисе. Выгрузите ключ для дальнейшей передачи его на сервер в
удаленном филиале.
Отправить ключ
Используется для помещения публичного ключа удаленного сервера на этот сервер
для дальнейшего подключения к удаленной стороне по этому ключу. Как правило,
используется в филиалах. Так как мы настраиваем подключение в головном офисе,
то мы не сохраняем на него сторонние ключи, предназначенные для подключения
клиентов.
Форма настройки интерфейса для сервера в центральном офисе приведена на рисунке 132.
122
Рисунок 132 – Настройки интерфейса для сервера в центральном офисе
Сохраняем настройки интерфейса в центральном офисе, нажав кнопку «Сохранить».
Настройки интерфейса OpenVPN на сервере в удаленном офисе будут отличаться тем,
что значения параметров локальной сети и параметров удаленной сети нужно будет симметрично поменять местами, а также поместить на удаленный сервер публичный ключ, сгенерированный на сервере головного офиса ранее. Форма настройки интерфейса для сервера в
удаленном офисе представлена на рисунке 133.
123
Рисунок 133 – Настройки интерфейса для сервера в удаленном офисе
После сохранения настроек необходимо сделать мягкую перезагрузку обоих серверов,
в результате туннель между ними должен установиться.
Также для корректного функционирования OpenVPN-туннеля необходимо настроить
некоторые параметры. Для этого в web-интерфейсе перейдите в меню «Безопасность» → «Дополнительные настройки» и выполните следующие действия:
– включите маршрутизацию между локальными интерфейсами;
– отключите проверку обратного пути (RP_FILTER).
Проверить это можно по индикатору состояния OpenVPN интерфейса. Маршруты между локальными сетями настраиваются автоматически если правильно заполнено поле «Удаленная
локальная сеть» на обоих серверах.
Важная информация Если на одном конце нет внешнего публичного адреса, то подключение возможно, но для его настройки надо:
– на сервере с внешним публичным адресом оставить пустым поле Удаленный внешний IP-адрес.
124
– на сервере, где нет внешнего публичного адреса, оставить пустым поле
Внешний IP-адрес.
Аналогично настраивается подключение между ПК «Интернет-шлюз Ideco ICS 6» и
другим устройством в глобальной сети, поддерживающим создание каналов связи по технологии OpenVPN с использованием сертификата сервера и публичных ключей.
5.4.2
VPN
Вы можете объединить в единую сеть удаленные офисы и филиалы предприятия. Для
этого в каждом офисе должен быть установлен ПК «Интернет-шлюз Ideco ICS 6», между которыми устанавливаются VPN-соединения с применением протокола PPTP. Процесс настройки
включает в себя два следующих этапа:
– Подготовка интернет-шлюза и конфигурирование локальных сетей;
– Создание VPN-туннелей и настройка маршрутизации.
Подготовка интернет-шлюза и конфигурирование локальных сетей
Для объединения локальных сетей офисов вам необходимо обеспечить в них уникальность пространства IP-адресов. В каждом офисе должна быть своя уникальная сеть. В противном случае, при создании VPN-туннеля вы можете столкнуться с некорректной работой
подсистемы маршрутизации.
В нашем примере мы рассмотрим объединение сетей двух офисов. Настройте вашу
сеть и ПК «Интернет-шлюз Ideco ICS 6» в соответствии со Таблицей 1.
Таблица 1 – Пример данных для настройки сети и ПК «Интернет-шлюз Ideco ICS 6» при
создании VPN-туннеля
Офис № 1
Офис № 2
Пространство IP-адресов
IP-адрес:
Маска сети:
192.168.0.0
255.255.255.0
IP-адрес:
Маска сети:
192.168.1.0
255.255.255.0
Локальный IP-адрес сервера ПК «Интернет-шлюз Ideco ICS 6»
IP-адрес:
Маска сети:
192.168.0.1
255.255.255.0
IP-адрес:
Маска сети:
192.168.1.1
255.255.255.0
Защищенный IP-адрес сервера ПК «Интернет-шлюз Ideco ICS 6»
IP-адрес:
10.128.0.0
IP-адрес:
10.129.0.0
Также для корректного функционирования VPN-соединения необходимо настроить
некоторые параметры. Для этого в web-интерфейсе перейдите в меню «Безопасность» → «Дополнительные настройки» и выполните следующие действия:
– включите маршрутизацию между локальными интерфейсами;
– разрешите VPN-соединения из интернета;
– отключите проверку обратного пути (RP_FILTER).
125
Форма настройки параметров VPN-соединения представлена на рисунке 134.
Рисунок 134 – Настройка параметров VPN-соединения
После настройки нажмите кнопку «Сохранить» и выполните мягкую перезагрузку
интернет-шлюза.
5.4.2.1
5.4.2.1.1
Создание VPN-туннелей и настройка маршрутизации
Настройка интернет-шлюза ПК «Интернет-шлюз Ideco ICS 6» в
офисе № 1
Необходимо выполнить следующие действия:
– Создать учетную запись пользователя, например office2, от имени которой сервер
ПК «Интернет-шлюз Ideco ICS 6» в офисе № 2 будет осуществлять подключение к
серверу ПК «Интернет-шлюз Ideco ICS 6» в офисе № 1.
– Разрешить созданной учетной записи удаленное подключение из интернета, а также
убедиться в том, что ей назначен IP-адрес из адресного пространства офиса № 1
(например, 10.128.0.10).
– Добавить маршруты в таблицу маршрутизации. Для этого в web-интерфейсе перейдите в меню «Сервер» → «Сетевые параметры» → «Маршруты» и нажмите кнопку
«Добавить». На экране появится форма добавления маршрута, которая приведена
на рисунке 135. Укажите необходимые значения и нажмите кнопку «Сохранить».
Нам необходимо добавить следующие маршруты:
192.168.1.0/255.255.255.0 10.128.0.10
10.129.0.0/255.255.0.0
10.128.0.10
126
Рисунок 135 – Добавление маршрута для сервера ПК «Интернет-шлюз Ideco ICS 6» в офисе
№1
5.4.2.1.2
Настройка интернет-шлюза ПК «Интернет-шлюз Ideco ICS 6» в
офисе № 2
Рисунок 136 – Настройка интернет-шлюза
Необходимо выполнить следующие действия:
– Создать новый интерфейс типа PPTP. В качестве роли используйте Local, а в качестве внешнего IP-адреса – внешний адрес интернет-шлюза ПК «Интернет-шлюз
Ideco ICS 6» в офисе № 1. В качестве логина используйте имя учетной записи, которая была создана на сервере в офисе № 1 (в нашем примере – office2). Обязательно
установите галочку «Шифрование MPPE». на рисунке 136 представлены настройки
интернет-шлюза.
– Добавить маршруты в таблицу маршрутизации. Для этого в web-интерфейсе перейдите в меню «Сервер» → «Сетевые параметры» → «Маршруты» и нажмите кнопку
«Добавить». На экране появится форма добавления маршрута, которая показана на
рисунке 137. Укажите необходимые значения и нажмите кнопку «Сохранить». Нам
необходимо добавить следующие маршруты:
192.168.0.0/255.255.255.0
4
10.128.0.0/255.255.0.0
4
где 4 – идентификатор созданного PPTP-интерфейса (в вашем случае он может быть
другим).
127
Рисунок 137 – Добавление маршрута для сервера ПК «Интернет-шлюз Ideco ICS 6» в офисе
№2
После добавления маршрута необходимо выполнить мягкую перезагрузку сервера
ПК «Интернет-шлюз Ideco ICS 6».
5.5
5.5.1
Службы
Сервер DNS
Сервер DNS играет одну из важнейших ролей в работе сети Интернет: он преобразует
человеко-читаемые имена серверов в IP-адреса. Для предоставления пользователям доступа в
интернет достаточно кэширующего DNS-сервера, который по умолчанию работает в интернетшлюзе
ПК «Интернет-шлюз Ideco ICS 6». Но если у вас есть доменное имя, то вам будет уже недостаточно точно кэширующей функции сервера имен, вам потребуется полноценный DNS-сервер.
Для корректного функционирования системы доменных имен для каждого доменного
имени необходимо иметь первичный сервер DNS (может называться Primary или Master) и
один вторичный сервер DNS (Secondary или Slave). Оба этих сервера можно заказать у вашего
интернет-провайдера или у регистратора доменных имен. Также в качестве одного из них вы
можете использовать ПК «Интернет-шлюз Ideco ICS 6».
Сервер DNS, встроенный в ПК «Интернет-шлюз Ideco ICS 6» может быть как первичным сервером для доменного имени, так и вторичным. В первом случае он будет являться
первичным источником информации о зоне DNS, описывающей ресурсные записи, относящиеся в домену. Во втором случае он будет являться вторичным источником и, соответственно,
информацию о зоне будет получать от другого, первичного сервера.
5.5.1.1
Настройка первичного DNS-сервера
Для настройки DNS сервера в web-интерфейсе необходимо перейти в меню «Сервер»
→ «DNS» → «BIND». Интерфейс настройки DNS-службы «BIND» представлен на рисунке 138.
128
Рисунок 138 – настройки DNS-сервера
Чтобы создать DNS-зону нажмите на кнопку «Добавить зону». В открывшемся окне
введите имя новой зоны. Нажмите кнопку «Сохранить». Форма добавления новой зоны приведена на рисунке 139
Рисунок 139 – Добавление зоны
5.5.2
Почтовый сервер
В ПК «Интернет-шлюз Ideco ICS 6» встроен полноценный почтовый сервер. При этом
мы постарались предоставить максимальную гибкость в его настройке. В данном разделе приводится инструкция по настройке почтовой службы, а также по применению дополнительных
возможностей, таких как web-почта, автоматический ответчик и другие.
Для удобства мы выделим несколько основных этапов настройки и разберем отдельно
каждый из них.
1. Подготовка к настройке.
2. Настройка почтового сервера.
3. Настройка почтовой программы для работы с сервером.
4. Рекомендации по защите сервера.
5. Web-почта.
6. Дополнительные возможности.
5.5.2.1
Подготовка к настройке
Для создания почтового сервера вам потребуется доменное имя. Вы можете зарегистрировать его либо у интернет-провайдера, предоставляющего вам услуги доступа в интернет, либо напрямую у регистратора, например, в RUcenter. После того, как вы зарегистрируете
доменное имя, вам потребуется внести изменения в описание зоны на DNS-сервере.
129
1. Нужно добавить ресурсную запись типа MX, указывающую на внешний IP-адрес
интернет-шлюза ПК «Интернет-шлюз Ideco ICS 6» (убедитесь, что на внешний интерфейс у вас назначен публичный адрес, доступный из сети Интернет). Запись типа
MX указывает на сетевой узел, который занимается обработкой почтовых сообщений для домена. Она должна ссылаться на доменное имя почтового сервера, а не на
IP-адрес.
2. Также обязательно добавьте запись типа PTR. Эта запись должна быть прописана в файле обратной зоны. Эти изменения может внести ваш интернет-провайдер.
Обратитесь к нему с просьбой прописать ресурсную запись для вашего IP-адреса,
которая должна ссылаться на вашу запись типа MX.
5.5.2.2
Настройка почтового сервера
Для настройки почтового сервера в web-интерфейсе необходимо перейти в меню «Сервер» → «Почтовый сервер». В этом разделе находятся все ключевые параметры, влияющие на
функционирование почтовой службы.
Все настраиваемые параметры разделены по нескольким категориям:
Общие
Основные параметры.
Безопасность
Параметры, отвечающие за обеспечение безопасности почтового сервера, а также
позволяющие настроить пересылку писем в службу безопасности компании.
Расширенные
Расширенные параметры, такие как автоматическая очистка корзины или общие
IMAP-папки.
Антивирус
Настройки антивируса для проверки сообщений, обрабатываемых почтовым сервером.
Антиспам
Настройки спам-фильтра для проверки сообщений, обрабатываемых почтовым сервером.
5.5.2.2.1
Общие настройки
Раздел общих настроек включает в себя следующие параметры:
Включить встроенную почту (POP3)
Включает возможность работы с почтовыми ящиками сервера по протоколу POP3
из локальной сети.
Разрешить доступ из интернет(POP3s)
Включает возможность работы с почтовыми ящиками сервера по защищенному протоколу POP3S (POP3 с шифрованием), подключаясь из интернета.
130
Включить встроенную почту (IMAP)
Включает возможность работы с почтовыми ящиками сервера по протоколу IMAP
из локальной сети.
Разрешить доступ из интернета (IMAPs)
Включает возможность работы с почтовыми ящиками сервера по защищенному протоколу IMAPS (IMAP с шифрованием), подключаясь из интернета.
Почтовый домен
Указывает серверу на его почтовый домен, для которого он должен принимать и
обрабатывать письма. Все ящики пользователей будут принадлежать этому домену.
От имени этого домена вы будете вести переписку с корреспондентами.
Максимальный размер почтового ящика
Ограничение на максимальный размер почтового ящика в байтах.
Максимальный размер письма
Ограничение на максимальный размер формируемого сервером письма в байтах.
Включить web-почту на защищенном адресе
Включает SSL web-интерфейс почтового клиента для доступа к почте на сервере.
Задействует возможность подключения на защищенный адрес сервера для VPN клиентов из локальной сети.
Включить web-почту на локальном адресе
Включает SSL web-интерфейс почтового клиента для доступа к почте на сервере.
Задействует возможность подключения на локальный адрес сервера для клиентов,
авторизованных по IP и находящихся в локальной сети.
Включить web-почту на внешнем адресе
Включает SSL web-интерфейс почтового клиента для доступа к почте на сервере.
Задействует возможность подключения на внешний адрес сервера для подключения
к почтовым ящикам извне.
Форма общих настроек изображена на рисунке 140.
Рисунок 140 – Общие настройки
131
5.5.2.2.2
Безопасность
Настройки безопасности определяют не только защиту самого почтового сервера, но и
позволяют выполнять некоторые требования внутренней политики безопасности предприятия.
Настройки безопасности:
Включить поддержку SASL для аутентификации SMTP-клиентов
Подключившись к почтовому ящику из интернета, отправить письмо, используя
SMTP сервер ПК «Интернет-шлюз Ideco ICS 6», можно будет только пройдя авторизацию по логину и паролю, заданному для этой учетной записи пользователя на
сервере.
Включить поддержку TLS для SMTP
Задействует возможность защищенной передачи учетных данных для аутентификации почтового клиента на SMTP-сервере.
Принимать почту от клиентов только через TLS
Помимо учетных данных (при авторизации) весь дальнейший почтовый трафик,
поступающий от клиента также будет передаваться по защищенному соединению с
шифрованием данных.
Разрешить аутентификацию только через TLS
Запрещает незащищенную передачу учетных данных клиента при аутентификации
на SMTP сервере.
Включить защиту от DOS-атак
Задействует возможность автоматической блокировки агрессивных, нелегитимных и
подозрительных пакетов, направленных на почтовый сервер как из локальной сети,
так и извне.
Перенаправлять всю входящую почту на СБ
Вся входящая почта будет попадать на указаный почтовый ящик службы безопасности (СБ). Только после проверки письма сотрудником СБ и помещения его в папку
«Отправленные» ( или OUTBOX ) письмо будет доставлено оригинальному адресату.
Перенаправлять всю исходящую почту на СБ
Вся исходящая почта будет попадать на указаный почтовый ящик службы безопасности. Только после проверки письма сотрудником СБ и помещения его в папку
«Отправленные» ( или OUTBOX ) письмо будет доставлено оригинальному адресату.
Перенаправлять всю локальную почту на СБ
Вся переписка, которая ведется только между абонентами вашего почтового домена,
будет дублироваться на указанный почтовый ящик СБ.
Белый список доменов и IP-адресов
Почта, приходящая с этих хостов и сетей, не будет проверяться предварительным
спам-фильтром.
132
Relay-домены
Почтовые домены, на которые разрешается пересылка корреспонденции через этот
почтовый сервер.
Доверенные сети
Авторизация на сервере для доступа к почтовому ящику не требуется при попытке
доступа из этих сетей. Указываются IP-сети и хосты в нотации CIDR или с префиксом сети, например: 10.0.0.5/255.255.255.255 или 192.168.0.0/16.
Форма настроек безопасности представлена на рисунке 141.
Рисунок 141 – Настройки безопасности
5.5.2.2.3
Расширенные настройки
Электронная почта является важнейшей составляющей деловых процессов предприятия. Часто случается так, что базовых настроек оказывается недостаточно, и требуется более
тонкая настройка. В этом разделе описываются дополнительные параметры, которые вы можете определить в ПК «Интернет-шлюз Ideco ICS 6».
Расширенные настройки:
Разрешить неправильный HELO
Понижает уровень безопасности сервера. Может потребоваться в случае необходимости приема почты почтовым сервером ПК «Интернет-шлюз Ideco ICS 6» от других
неправильно настроенных почтовых серверов или серверов с устаревшими неоптимальными настройками безопасности.
Не проверять адрес получателя
Если не включено, письма от пользователей ПК «Интернет-шлюз Ideco ICS 6» на
133
несуществующие, невалидные почтовые ящики не будут отправляться. Если включено, любые письма пользователей ПК «Интернет-шлюз Ideco ICS 6» будут безусловно
отправляться указанным адресатам, но в случае невозможности доставки почтовый
сервер направит отправителю письма сообщение о недоставке.
Использовать файл кэша для почты
Ускоряет дисковую подсистему сервера при работе с объемными почтовыми ящиками пользователей. Ведет к усложнению конфигурации почтовой системы. Не рекомендуется включать без явной необходимости.
Размер почтового кэша
Размер файла кэша на диске в байтах.
Внешний SMTP-Relay
Вся исходящая почта будет отправляться на указанный адрес. Используется, например, в случае, если почта должна проходить через вышестоящий сервер провайдера
перед отправкой в интернет.
Удалять из корзины письма старее
Удаляются письма старше указанного количества дней из IMAP папок «Удаленные»
и «Спам».
IP-адрес почты для пользователей
Предписывает почтовому серверу ПК «Интернет-шлюз Ideco ICS 6» принимать соединения с IP-адреса, отличного от IP-адреса локального интерфейса. Это может
потребоваться в том случае, если у вас настроено несколько адресов на локальном
интерфейсе. Позволяет удобно отделять почтовый трафик от остального при тарификации и просмотре проходящего трафика.
Копировать всю исходящую с домена почту
Вся исходящая почта будет дублироваться на указанный почтовый ящик. Рекомендуется включать только при крайней необходимости.
Копировать всю входящую на домен почту
Вся входящая почта будет дублироваться на указанный почтовый ящик. Рекомендуется включать только при крайней необходимости.
Копировать всю почту
Вся почта будет дублироваться на указанный почтовый ящик. Рекомендуется включать только при крайней необходимости.
Дополнительные почтовые домены
Список дополнительных доменов, почта которых будет обрабатываться почтовым
сервером ПК «Интернет-шлюз Ideco ICS 6».
Загрузка почты с удаленных серверов (fetchmail)
Правила сбора почты с внешних ящиков и ее перенаправления на ящики пользователей сервера.
134
Записываются в соответствии с синтаксисом fetchmail, например: pop3.mymail.ru:pop3 user pass
localuser@smtp.ideco.ru.
Интервал между проверкой почты (fetchmail)
Интервал в минутах между проверкой доступности новых сообщений на внешних
ящиках пользователей для сбора почты с них по правилам fetchmail, указанным
выше.
Общие IMAP папки
Указанные папки будут созданы на сервере и доступны всем пользователям.
Включить возможность автоответа
На каждое входящее сообщение отправляется автоответ. Также необходимо активировать автоответчик у конкретных пользователей во вкладке «Почта».
Форма расширенных настроек представлена на рисунке 142.
Рисунок 142 – Расширенные настройки
Зная назначение каждого параметра, мы можем приступить к непосредственной активации почтового сервера и его последующему конфигурированию. Эти процессы могут быть
осуществлены в двух вариантах: ручном и автоматизированном с помощью мастера.
135
5.5.2.2.4
Ручная настройка
Для активации почтового сервера выберите в меню те протоколы доступа к почте,
которые вы планируете использовать. Поддерживаются POP3 и IMAP4, а также их версии с
применением шифрования (POP3s, IMAP4s) для защиты трафика от несанкционированного
доступа. Краткое описание каждого из протоколов вы можете получить в разделе «Основные
определения».
Важная информация Если вы планируете подключаться к почтовому серверу из сети Интернет, то обязательно включите протоколы POP3s и IMAPs. В целях безопасности
в ПК «Интернет-шлюз Ideco ICS 6» запрещено подключение из недоверенных сетей
без применения шифрования трафика.
Нажмите кнопку «Сохранить» и перезапустите почтовый сервер.
5.5.2.2.5
Автоматизированная настройка
Запустите мастер настройки нажатием на соответствующую кнопку в web-интерфейсе
– «Запустить мастер настройки почтового сервера». Мастер включает в себя 7 шагов, выполняйте его указания. После завершения работы мастера нажмите кнопку «Сохранить» и
перезапустите почтовый сервер.
5.5.2.2.6
Использование почтовых правил для защиты от спама
На основе почтовых правил можно в почтовом сервере настроить защиту от поступлений по электронной почте незапрашиваемых электронных сообщений (писем, документов), в
том числе в приложениях к электронным письмам.
Для этого необходимо зайти в административный веб-интерфейс под учетной записью
администратора и перейти на вкладку «Сервер» → «Почтовые правила» → «Правила заданные
вручную».
В соответствующих полях можно задать правила фильтрации электронных сообщений:
По отправителю фильтрация на основе информации об отправителе электронного сообщения;
По получателю фильтрация на основе информации об получателе электронного сообщения;
По заголовку фильтрация по основе информации в заголовках электронных сообщений;
По тексту фильтрация по содержимому электронных сообщений.
5.5.3
Сервер FTP
В ПК «Интернет-шлюз Ideco ICS 6» есть возможность настройки FTP-сервера в локальной сети и организации к нему доступа из интернета. Основная задача FTP-службы –
решение сервисных задач по обслуживанию самого сервера, автоматическое копирование резервных копий системы и содержимого некоторых системных каталогов для обеспечения доступа к ним системного администратора. Существует возможность настройки анонимного доступа
136
к файловому хранилищу, который не требует указания пароля, но в таком случае доступ извне
следует запретить.
Вы можете настроить службу FTP в качестве файлового сервера для пользователей
предприятия, но возможность гибкой настройки структуры каталогов сервера и прав доступа на них в продукте отсутствует. Вам придется использовать преднастроенную структуру
каталогов с ограниченными возможностями по ее изменению.
В этой статье мы рассмотрим несколько типичных ситуаций настройки службы FTP.
5.5.3.1
Настройка службы на анонимный доступ к файлам и каталогам в
хранилище
При такой ситуации любой пользователь может подключиться к FTP-серверу, используя логин «anonymous» и пустой пароль. При этом у пользователя будут полные права на
чтение, модифицирование и удаление информации из файлового хранилища в том случае,
если файлы не были созданы неанонимным пользователем. На файлы, созданные от имени
неанонимных FTP-пользователей, при анонимном доступе существует только право на чтение. Чтобы настроить такую схему, необходимо перейти в меню «Сервер» → «FTP-сервер» и
активировать следующие пункты:
– Включить FTP-сервер;
– Разрешить доступ к FTP из локальной сети;
– Разрешить анонимный вход;
– Разрешить запись файлов для анонимных пользователей;
– Разрешить удаление файлов для анонимных пользователей.
Форма настройки FTP-сервера на анонимный доступ к файлам и каталогам в хранилище представлена на рисунке 143.
Рисунок 143 – Настройки FTP-сервера на анонимный доступ к файлам и каталогам в
хранилище
Примечание.
Пункт «Разрешить удаление файлов для анонимных пользователей» можно не включать, тогда пользователи смогут добавлять контент, но не смогут удалять файлы.
137
Важная информация Важно понимать, что при настройке анонимного доступа нельзя разрешать подключения на сервер извне, так как третьи лица могут использовать ваш
сервер в своих целях.
5.5.3.2
Использование учетных записей пользователей FTP-сервера для
разграничения прав доступа на файлы и каталоги файлового хранилища
Учетные записи пользователей надо создавать отдельно в локальном меню. В webинтерфейсе сервера эта возможность на данный момент не реализована. Эти учетные записи
никак не связаны с базой данных пользователей сервера, их настройки хранятся отдельно
в конфигурационных файлах службы FTP. В ПК «Интернет-шлюз Ideco ICS 6» права для
пользователей заданы так: каждый пользователь имеет право создавать и удалять файлы и
директории в корневом каталоге FTP-сервера. В созданных им каталогах пользователь имеет
полные права на доступ к информации. При этом доступ в каталоги, созданные другими пользователями, у него отсутствует. Это поведение строго задано на сервере, и изменить политику
предоставления прав пользователям невозможно. Поэтому, если вы планируете использовать
службу FTP как файловый сервер для нужд работы сотрудников предприятия, то вам нужно
исходить из этих возможностей.
При создании FTP пользователя в локальном меню вы заполняете такие параметры
как учетные данные для доступа пользователя к файловому серверу и домашний каталог с
полными правами доступа относительно корневого каталога FTP-сервера. При входе на сервер
пользователь будет помещен в свой домашний каталог и сможет работать только в нем. Доступ
к соседним каталогам пользователей у него при этом отсутствует. Пользователь будет «заперт»
в своем домашнем каталоге без возможности выхода из него.
Если домашним каталогом пользователя назначить корневой каталог службы /var/ftp,
то при входе на сетевой экран в хранилище пользователь будет иметь возможность просматривать все каталоги хранилища, в том числе и домашние каталоги других пользователей, но
создавать и изменять файлы сможет только в предварительно созданных каталогах private и
pub службы FTP, находящихся в корне файлового хранилища. Таким образом, эти пользователи имеют приоритет в доступе к информации на хранилище по сравнению с пользователями,
чей домашний каталог указан явно относительно корневого каталога хранилища.
Указание корневого каталога службы в качестве домашнего каталога для нескольких
пользователей позволяет организовать простой файловый сервер для обмена информацией
в рамках предприятия. Напротив, задание определенного домашнего каталога для каждого
пользователя позволит настроить более строгое разделение ресурсов хранилища.
Эта схема предоставления прав доступа к каталогам пользователей, как было отмечено
выше, не подлежит изменению.
Наравне с доступом из локальной сети можно разрешить доступ к файловому хранилищу из сети Интернет, включив пункт «Разрешить доступ к FTP из интернет». Имейте ввиду,
что анонимный доступ при этом нужно отключить.
Важная информация Важно отметить, что передача ключа по протоколу FTP осуществляется в открытом виде.
138
5.5.3.3
Вариант настройки службы FTP для анонимного доступа из сети
Интернет
Это может понадобиться для предоставления возможности скачивания файлов с хранилища большому количеству людей, не работающих непосредственно в вашем офисе. Чтобы
настроить сервер таким образом, включите возможность внешнего доступа к FTP-серверу и
разрешите анонимный вход на сервер. При этом нужно обязательно отключить возможность
управления файлами для анонимных пользователей.
Даже при таких настройках эта схема достаточно опасна и может привести к заполнению всего доступного места на жестком диске сервера. Следите за ресурсами файловой
системы, если решили настроить такую схему. Также в случае одновременных подключений
большого числа пользователей возможно проведение атак типа DDOS или непланомерное расходование вычислительных ресурсов сервера, приводящие к неработоспособности службы или
сильной загруженности всего сервера и его медленной работе. Как правило, такую схему настраивают в определенных случаях и закрывают доступ всем внешним подсетям, кроме доверенных (дом, офис партнеров) через сетевой экран.
5.5.3.4
Доступ к серверу
После настройки службы FTP на сервере вы можете обратиться к файловому хранилищу с помощью браузера или любого FTP-клиента. Поддерживаются как пассивный, так и
активный режим соединения клиента с сервером. Возможность сервера принимать подключения только в классическом активном режиме включается в настройках службы. Как правило,
этого делать не нужно, так как все современные FTP-клиенты ориентированы на пассивный
режим подключения к FTP-серверу. Активный режим сегодня используется, по большей части,
для совместимости с некоторыми старыми FTP-клиентами или в случае, когда необходимо запретить подключение по случайным портам, используемым при активном режиме соединения,
и ограничиться портами 20 и 21, например, для более тонкого контроля доступа и фильтрации
FTP трафика.
Введите в адресной строке браузера: ftp://192.168.0.1, где 192.168.0.1 – это локальный адрес сервера. Для доступа извне следует указывать внешний адрес сервера или имя
домена, если оно зарегистрировано. Обращение к файловому хранилищу с помощью браузера
показано на рисунке 144.
Рисунок 144 – Обращение к файловому хранилищу с помощью браузера
139
5.5.4
Сервер DHCP
Для удобства настройки и администрирования сетевых устройств в локальной сети вы
можете использовать DHCP-сервер, встроенный в ПК «Интернет-шлюз Ideco ICS 6». DHCPсервер используется для автоматического назначения IP-адресов сетевым устройствам в локальной сети. Интерфейс позволяет настроить диапазон IP-адресов для автоматического назначения устройствам локальной сети, а также сформировать статические привязки IP-адресов
к MAC-адресам этих устройств. Сетевые устройства в локальной сети должны быть настроены
на автоматическое получение сетевых реквизитов от DHCP-сервера. В таком случае клиенты
посылают широковещательный запрос в сегмент локальной сети, а сервер перехватывает и
отправляет на эти запросы ответы, содержащие настройки для клиента.
Интерфейс настройки службы находится в разделе «Сервер» → «DHCP-сервер» административного web-интерфейса.
5.5.4.1
Настройка сервера
Как правило, сервер ПК «Интернет-шлюз Ideco ICS 6» является шлюзом и DNSсервером для всех сетевых устройств локальной сети, поэтому в большинстве случаев настройка службы ограничивается определением диапазона IP-адресов. При необходимости может
быть задан IP-адрес альтернативного шлюза, DNS-сервера и WINS-сервера в локальной сети
для клиентов, которые получают настройки сетевого соединения по протоколу DHCP. Интерфейс настройки службы также позволяет указывать произвольные маршруты, которые будут
применены на сетевых устройствах в локальной сети в момент получения сетевых настроек по
DHCP.
Параметры настройки DHCP-сервера:
Включить DHCP
Включение этой опции позволяет автоматически раздавать IP-адреса устройствам,
находящимся в одном Ethernet-сегменте с сервером. Если у Вас несколько локальных
интерфейсов, то DHCP-сервер будет отвечать на запросы только на интерфейсе с
номером 1.
Диапазон адресов
Диапазон IP-адресов, выдаваемых компьютерам сети. Диапазон должен обязательно умещаться в сеть, указанную на локальном интерфейсе. Например, если локальный интерфейс «192.168.0.1/255.255.255.0», то диапазон может быть «192.168.
0.2-192.168.0.254». Если DHCP должен работать на дополнительном локальном
интерфейсе, то номер этого интерфейса указывается через вертикальную черту:
«3|192.168.1.2-192.168.1.254».
DNS для DHCP-клиентов
Укажите адреса DNS-серверов, которые должны быть выданы при автоматической
настройке компьютеров по протоколу DHCP (если в качестве DNS-сервера будет использоваться ПК «Интернет-шлюз Ideco ICS 6», то поле заполнять не обязательно).
Фиксированные привязки IP к MAC адресу
Укажите привязки IP и MAC-адресов. Этим можно обеспечить гарантию того, что
140
выбранному компьютеру будет назначен постоянный адрес.
Маршруты для DHCP-клиентов
Укажите список маршрутов, которые должны быть установлены на компьютерах
пользователей. Из-за ограничений протокола маршруты могут быть только для адресов с маской 32 (указывать маску в конфигурации не нужно).
Шлюз для DHCP клиентов
Укажите шлюз по умолчанию для DHCP-клиентов. По умолчанию в качестве шлюза
используется ПК «Интернет-шлюз Ideco ICS 6». Если вы хотите назначить свой
шлюз для интернета, необходимо указать в данном поле адрес этого устройства.
WINS для DHCP клиентов
Если в вашей сети используется сервер WINS или контроллер домена, то укажите
его IP-адрес в этом поле.
Пример базовой конфигурации службы показан на рисунке 145.
Рисунок 145 – Базовые настройки DHCP-сервера
Если вы настраиваете DHCP-сервер на ПК «Интернет-шлюз Ideco ICS 6», то диапазон раздаваемых IP-адресов должен быть из одной сети с IP-адресом локального интерфейса
сервера.
Важная информация На локальном интерфейсе сервера ПК «Интернет-шлюз Ideco ICS 6»
должен быть назначен статический IP-адрес, а не динамический, полученный по
протоколу DHCP.
На основе вышесказанного рассмотрим вариант более подробной настройки службы с
указанием маршрута и адреса сервера WINS, в качестве которого может выступать контроллер
141
домена Active Directory. Например, возможно такое построение сети, когда в маршруте указано,
что сетевой узел 172.16.0.1 находится за контроллером домена 192.168.0.2, который, в свою
очередь, является WINS-сервером. Пример расширенной конфигурации службы показан на
рисунке 146.
Рисунок 146 – Расширенные настройки DHCP-сервера
После настройки DHCP-сервера не забудьте сохранить настройки и запустить службу.
Сервер начнет отвечать на запросы устройств в локальной сети о получении сетевых реквизитов. После чего можно приступить к настройке клиентских устройств.
5.5.4.2
Советы по настройке клиентов
Настройки конкретного устройства зависят от предлагаемого операционной системой
интерфейса и возможностей. Как было упомянуто, не все устройства поддерживают работу по
протоколу DHCP, а некоторые из них предоставляют MAC-адрес с разделенными с помощью
дефиса октетами. В настройках сервера и в большинстве других устройствах октеты MACадреса разделяются двоеточиями. Поэтому будьте внимательны при согласовании настроек
клиентских устройств и DHCP-сервера на ПК «Интернет-шлюз Ideco ICS 6».
Перед использованием службы определитесь с адресацией в локальной сети и типом
авторизации пользователей перед использованием службы. DHCP-сервер лучше использовать
для пользователей с типом авторизацией по PPTP или PPPoE. Это можно объяснить следующим образом: независимо от того, какой бы IP-адрес не получило устройство, авторизация
142
осуществляется по логину и паролю. В создаваемом VPN-туннеле используются свои адреса, не зависящие от логина пользователя. IP-адрес сетевой карты не играет никакой роли при
подключении к интернету. Для авторизации с помощью Ideco Agent и WEB ситуация аналогичная: IP-адрес сетевого устройства не влияет на ход авторизации. Для таких типов авторизации
удобно использовать DHCP-сервер для автоматического назначения адресов.
5.5.4.3
Особый случай
Если вы используете авторизацию по IP или IP + MAC, то при постоянной смене
IP-адресов на устройствах пользователей по причине их случайного распределения службой
DHCP одни и те же компьютеры будут время от времени авторизовываться под разными аккаунтами. Для таких типов авторизации IP-адрес является идентификатором учетной записи
в базе данных пользователей сервера.
Таким образом, может возникнуть такая ситуация, когда клиенты не смогут авторизоваться на сервере. Это может произойти вследствие быстрой смены клиентов в локальной сети.
Служба запоминает IP и MAC-адреса всех устройств на некоторое время, тем самым уменьшая
диапазон доступных IP-адресов при возрастающем количестве новых устройств. Если вы хотите использовать DHCP при таком типе авторизации, вам необходимо настроить схему работы
службы DHCP, при которой она будет выдавать только определенные IP-адреса конкретным
устройствам в локальной сети. Для этого выполните следующие действия:
– В настройках службы DHCP укажите диапазон IP-адресов с одинаковым начальным
и конечным адресом;
– В настройках службы DHCP установите соответствие IP-адресов MAC-адресам, перечислив все известные устройства в локальной сети или все возможные IP-адреса
в диапазоне сети, которой принадлежит локальный адрес сервера;
– В web-интерфейсе в настройках каждой учетной записи пользователя сделайте привязку IP-адреса к MAC-адресу его устройства.
на рисунке 147 приведен пример настройки службы DHCP для назначения IP-адреса
исключительно по MAC-адресу запрашивающего сетевые реквизиты устройства. Устройствам,
чей MAC-адрес не указан в перечне, IP-адрес назначен не будет.
143
Рисунок 147 – Настройки работы службы DHCP для выдачи IP-адреса по MAC-адресу
5.5.5
5.5.5.1
Сетевой фильтр
Принцип работы
Одним из основных средств управления трафиком на сервере является сетевой фильтр
(брандмауэр). С его помощью можно по различным критериям ограничивать трафик пользователей, проходящий через сервер из локальной сети во внешние, а также исходящий и входящий
трафик на сам сервер.
Принцип работы фаерволла заключается в анализе заголовков пакетов, проходящих
через сервер. Эта низкоуровневая задача решается шлюзом на основе стека протоколов TCP/IP.
Поэтому фаерволл хорошо подходит для определения глобальных правил управления трафиком по сетевым протоколам, портам, принадлежности к определенным IP-сетям и другим критериям, основанным на значениях полей в заголовках сетевых пакетов.
Сетевой экран не предназначен для решения задач, связанных с контролем доступа к
ресурсам сети Интернет исходя из адреса URL, доменного имени или ключевых слов, встречающихся на страницах ресурса. Эти задачи более высокого уровня, как правило, касающиеся
web-трафика, нужно решать с помощью модуля контентной фильтрации в компоненте проксисервера.
Для обеспечения высокой эффективности процесса управления трафиком фаерволл
разделен на два глобальных контейнера правил:
– Системный сетевой фильтр – содержит список глобальных правил, применяемых ко
всей сетевой подсистеме шлюза. Весь трафик, проходящий через шлюз, проверяется
на соответствие этим правилам. Таким образом, правила, созданные в системном
брандмауэре, распространяются как на служебный трафик шлюза, так и на трафик,
генерируемый самими клиентами сети.
– Пользовательский сетевой фильтр – содержит правила, касающиеся только трафика
144
клиентских устройств в сети и не влияющие на глобальные правила фаерволла.
Эти правила действуют только в том случае, если они зафиксированы во вкладке
«Ограничения» в настройках конкретного пользователя или группы пользователей.
Стоит отметить, что правила пользовательского фаерволла приоритетнее правил системного. Предположим, что у вас в системном фильтре запрещена работа с ICQ (TCP порты
5190 и 4000). Вместе с тем в пользовательском брандмауэре существует правило, разрешающее
соединения с использованием этих портов. Таким образом, ICQ будет работать у пользователя,
которому назначено это правило.
Сам процесс создания правил и групп правил для обоих брандмауэров одинаков. Все
правила объединяются в группы. Обработка сетевых пакетов с помощью правил также работает одинаково: сверху вниз от первого правила в первой группе к последнему правилу в
последней группе. Настройка обоих брандмауэров доступна в разделе web-интерфейса «Безопасность».
5.5.5.2
5.5.5.2.1
Создание правил и групп правил
Создание группы правил
Для добавления группы правил необходимо выполнить следующие действия:
1. Нажмите на кнопку «Создать группу» в конце списка существующих групп правил.
Форма создания группы правил представлена на рисунке 148.
2. Введите «Название группы правил» и описание, если требуется.
3. Нажмите «Сохранить».
Рисунок 148 – Создание группы правил
После того, как группа создана, в нее можно добавлять правила сетевого фильтра.
5.5.5.3
Создание правила сетевого фильтра
Для того, чтобы создать правила в группе, выделите ее и нажмите на кнопку «Добавить правило» на панели инструментов. Далее необходимо ввести критерии правила фаерволла:
SRC, mask
сеть источника
145
IP-адрес и маска сети источника
SRC Port
порт источника
Порт источника. Имеет смысл только для TCP и UDP.
DST, mask, сеть назначения
IP-адрес и маска сети назначения.
DST Port, порт назначения Порт назначения. Имеет смысл только для TCP и UDP.
Протокол
Протокол передачи данных.
Путь
Направление прохождения трафика. Различают входящий, исходящий, транзитный.
Весь пользовательский трафик является транзитным.
Действие
Действие, выполняемое над трафиком после срабатывания правила.
5.5.5.4
Протокол
фаерволл определяет популярные сетевые протоколы путем чтения данных из заголовков пакета. Также он может автоматически устанавливать принадлежность трафика к некоторым менее распространенным протоколам с помощью технологии Layer7.
Layer7 – технология, применяемая для определения типа трафика, не привязанного
к портам, например peer-to-peer (p2p). Такой трафик невозможно запретить стандартными
средствами фаерволла, потому что могут отличаться как порты, так и сами протоколы транспортного уровня.
Если в перечне протоколов подмножество Layer7 отсутствует, то вам необходимо подключить эту технологию. Для этого в web-интерфейсе перейдите в меню «Безопасность» →
«Дополнительные настройки» и активируйте пункт «Включить поддержку Layer7».
При выборе протоколов TCP и UDP появляется возможность указания портов для
источника и назначения. Порты можно выбрать либо из списка, либо ввести вручную. Допускается ввод нескольких портов через запятую. В этом случае порты будут проверяться по
принципу «ИЛИ». Для указания любого порта оставьте 0. Список закрепленных за номерами
портов можно увидеть, нажав на кнопку «+», расположенную справа от списка портов.
Сетевые протоколы:
ICMP
В основном ICMP используется для передачи сообщений об ошибках и других исключительных ситуациях, возникших при передаче данных. Также на ICMP возлагаются некоторые сервисные функции.
TCP
Выполняет функции протокола транспортного уровня модели OSI.
146
UDP
Является одним из самых простых протоколов транспортного уровня модели OSI.
Его IP-идентификатор – 0x11. В отличие от TCP, UDP не гарантирует доставку пакета, поэтому аббревиатуру иногда расшифровывают как Unreliable Datagram Protocol
(протокол ненадежных датаграмм). Это позволяет ему гораздо быстрее и эффективнее доставлять данные для приложений, которым требуется большая пропускная
способность линий связи, либо требуется малое время доставки данных.
GRE
Основное назначение протокола – инкапсуляция пакетов сетевого уровня сетевой
модели OSI в IP-пакеты. Номер протокола в IP – 47. В основном используется при
создании VPN (Virtual Private Network).
Layer 7: netsupport
Служебные протоколы. В данный набор входят: DNS, SSH, NTP.
Layer 7: messеnger
Службы мгновенных сообщений. В данный набор входят следующие службы: AIM
(ICQ), Jabber, IRC, MSN, Yahoo Messenger.
Layer 7: consumer
Наиболее используемые протоколы – HTTP, IMAP, POP3, SMTP и их шифрованные
аналоги.
Layer 7: games
Сетевые игры – Armagetron, Battlefield1942, Battlefield2142 Counter-Strike Source,
Day Of Defeat Source, Doom 3, Guildwars, Liveforspeed, Mohaa, Quake, Half-Life, Quake
1, Runesofmagic, Subspace, Teamfortress 2, World Of Warcraft, Half-Life 2, Deathmatch.
Layer 7: realtime
Трафик реального времени. В этот набор входят: RTP, RTSP (потоковое аудио и
видео), SIP (IP-телефония), h323 (IP-телефония), STUN (IP-телефония).
Layer 7: ssl
SSL соединения.
Layer 7: p2p
peer-to-peer сети – AppleJuice, Gnutella, Edonkey, Bittorrent, Ares, Directconnect,
Gnucleuslan, Fasttrack, Hotline, Imesh, Mute, Openft, Poco, Soribada, Soulseek, Tesla,
Thecircle, а также любой большой трафик не распознанного.
Layer 7: tunnel
Туннельные соединения – SOCKS, VPN, OpenVPN.
5.5.5.5
Путь
Критерий позволяет определить, какое направление прохождения трафиком будет проверяться. Для этого необходимо выбрать из списка «Путь» одно из следующих значений:
147
FORWARD – Пакеты, проходящие через сервер. Это основной трафик пользователей;
INPUT – Входящие пакеты, предназначенные для самого сервера;
OUTPUT – Пакеты, исходящие от самого сервера.
Если вы хотите ограничить доступ к серверу, например, для блокировки серверов «спамеров», используйте пути INPUT и OUTPUT. Для ограничения доступа пользователя или
нескольких пользователей к сайту, используйте путь FORWARD.
Для более удобного ограничения нескольких пользователей одним правилом, назначьте
этим пользователям IP-адрес из отдельного пула. Тогда в качестве IP-адресов источника или
назначения можно будет указать подсеть, соответствующую этому пулу.
5.5.5.6
Действие
Перечень значений параметра «Действие»:
Запретить
Запрещает трафик. При этом ICMP-уведомлений осуществляться не будет.
Разрешить
Разрешает трафик.
Шейпер
Ограничивает скорость трафика. С помощью этого правила можно ограничить скорость трафика пользователей, серверов или протоколов. При выборе этого действия
появится параметр «Макс. скорость». Скорость указывается в Кбит/сек. Например, максимальной скорости в 10 Кбайт/сек соответствует скорость примерно 80
Кбит/сек.
QOS
Назначает приоритет трафика. Всего есть 8 приоритетов, которые можно назначить
трафику, отобранному по критериям, указанным в общих правилах фаерволла. При
выборе этого действия появится поле для ввода приоритета. В первую очередь будет
обрабатываться (передаваться) трафик с приоритетом 1, а в последнюю очередь –
трафик с приоритетом 8.
Portmapper (DNAT)
Транслирует адреса назначения, тем самым позволяет перенаправить входящий трафик. При выборе этого действия, появятся поля: «Переадресовать на адрес» и
«Порт». Здесь необходимо указать адрес и, опционально, порт назначения на целевом устройстве. Порт имеет смысл указывать, если правило описывает протокол
подключения TCP или UDP. С помощью этой возможности можно прозрачно переадресовать входящий трафик на другой адрес или порт. Для примера представим,
что перед вами стоит задача предоставить доступ из сети Интернет к службе удаленного рабочего стола и web-серверу, которые находятся в локальной сети предприятия
и не имеют публичного IP-адреса. Публичный IP-адрес, по которому возможно осуществить подключение, назначен на внешний интерфейс ПК «Интернет-шлюз Ideco
148
ICS 6». Таким образом, для решения это задачи вам потребуется настроить сетевой
фильтр так, чтобы он обеспечивал прозрачное перенаправление входящего трафика
в локальную сеть к соответствующим службам. То же самое потребуется сделать
в том случае, если вам потребуется перенаправить все HTTP-запросы, идущие из
локальной сети к внешним IP-адресам, на внутренний web-сервер.
SNAT
Транслирует адреса источника. Аналогично действию «NAT» в профиле (переопределяет NAT в профиле).
Разрешить и выйти из Firewall
Разрешает прохождение трафика и прекращает дальнейшую проверку. Таким образом, те правила, которые находятся после правила с данным действием не будут
применены.
Запретить и разорвать подключение
Запрещает соединение, не устанавливать TCP-сессию.
Логировать
Все пакеты, попадающее под данное правило, будут записываться в /var/log/kern.log.
Не SNAT
Отменяет действие «SNAT» (либо в firewall выше по списку, либо в профиле) для
трафика, удовлетворяющего критериям правила.
Не DNAT
Отменяет действие «DNAT» (либо в firewall выше по списку, либо в профиле) для
трафика, удовлетворяющего критериям правила.
Разрешить без авторизации
Разрешает доступ к ресурсу без авторизации на сервере.
MASQUERADE
Аналогично действию «SNAT». Применяется, когда адрес у интерфейса, на который делается переадресация, динамический. Необходимо указать имя интерфейса в
соответствующей графе.
Правила с действиями «QOS» и «Шейпер» будут работать только в случае, если в
консоли включен параметр «Включить QOS и Шейпер» в разделе административного webинтерфейса «Сервер» → «Сетевые параметры» → «QOS и Шейпер».
5.5.5.7
Примеры правил и техник
Разрешить клиентам только нужные интернет-сервисы. Остальной трафик запретить.
Технология используется для разрешения только заранее известных интернет-протоколов, которыми пользуются клиенты сети, и запрета всего остального трафика. Она обеспечивает дополнительную защиту вашей локальной сети от нежелательного трафика и угроз
извне. Также это одна из наиболее действенных технологий в борьбе с торрентами и другим
распределенным трафиком пиринговых файлобменных сетей. Принцип действия техники заключается в создании группы правил, разрешающих подключение только на порты нужных
149
для работы пользователей сервисов в сети Интернет. Самым последним создается правило,
запрещающее весь трафик. В итоге, если трафик не удовлетворяет ни одному из предыдущих
разрешающих правил, то пакеты этого трафика не допускаются к прохождению через шлюз.
Пример перечня правил представлен на рисунке 149.
Рисунок 149 – Перечень правил фаерволла
Где «192.168.1.0/255.255.255.0» – локальная сеть пользователей за шлюзом.
Важная информация Для корректной работы с сетью Интернет необходим сервис DNS (53
UDP порт) и протокол ICMP. Их нужно обязательно разрешить.
на рисунке 149 показаны отдельные правила для отдельных протоколов сети Интернет.
Это может быть удобно для легкого включения/выключения правил. Но вы можете перечислить больше портов в одном правиле. Имейте ввиду, что максимальное количество портов,
которое фаерволл распознает в пределах одного правила равняется 15.
Важная информация Эта техника не гарантирует однозначной блокировки торрентов и
прочих файлообменных сетей, так как зачастую эти сети работают через порты
известных служб (80 HTTP) в зашифрованном виде.
5.5.6
5.5.6.1
Сервер Web
Настройка сервера
Для того чтобы разместить сайт на шлюзе, который будет доступен на внешнем интерфейсе ПК «Интернет-шлюз Ideco ICS 6» прежде всего нужно убедиться что на внешнем
интерфейсе шлюза настроен статический публичный IP-адрес. Так же доменное имя для сайта
должно быть ассоциировано с этим IP-адресом у регистратора. В противном случае размещение сайта на шлюзе не имеет смысла так как на него нельзя будет попасть извне. Если эти
условия соблюдены, то можно приступить к настройкам веб-сервера.
Первым делом нужно задействовать внешний веб-сервер. Для этого перейдите в раздел
«Сервер» → «Web-сервер» административного веб-интерфейса и включите пункт «Включить
встроенный веб-сервер». Есть возможность отключать исполнение скриптов в случае размещения статичных html-сайтов и задействовать MySQL-сервер.
150
Рисунок 150 – Веб-сервер
Теперь надо подготовить сервер к размещению файлов сайта. По умолчанию запись
файлов на сервер запрещена. Чтобы включить возможность записи файлов, перейдите в раздел
«Безопасность» → «Дополнительные настройки» и включите пункт «Разрешить управление
файлами по SSH». После чего сохраните настройки и сделайте полную перезагрузку сервера.
5.5.6.2
Размещение сайта на веб-сервере шлюза
Теперь все готово для размещения сайта на файловой системе шлюза. Копирование
файлов возможно только по протоколу SCP, который является частью протокола SSH. Для
работы с сервером по SCP с Windows скачайте программу WINSCP с официального сайта
в Интернете. Установив программу на ваш компьютер вы можете подключиться к серверу,
используя логин sysadm и текущий пароль от локального меню (по умолчанию servicemode)
(рисунок 151).
Рисунок 151
Программа имеет типичный двухпанельный интерфейс для работы с файлами. Когда
подключение будет установлено, перейдите в каталог WWW на сервере и поместите файлы
сайта с вашего компьютера на него. Не забудьте проследить за сохранением оригинальных
151
прав доступа к файлам. Например, файлы исполняемых сценариев должны иметь права на
выполнение после их помещения на сервер.
Рисунок 152
Если вы все сделали верно, то теперь размещенный на веб-сервере сайт доступен по
доменному имени или по IP-адресу на внешнем интерфейсе шлюза и вы можете приступить к
работе с ним.
5.5.7
Контент-фильтр
Контентная фильтрация на нашем сервере реализована на основе данных о веб-трафике, получаемых от модуля проксирования веб-трафика (прокси-сервера) пользователей. Таким
образом контент-фильтр позволяет эффективно блокировать доступ к различным интернетресурсам по веб. Контент-фильтры в ПК «Интернет-шлюз Ideco ICS 6» не занимаются блокированием ICQ, mail или torrent трафика и работают только с веб-трафиком от публичных
ресурсов в сети Интернет к ПК пользователей в вашей сети. Сам механизм контентной фильтрации заключается в проверке принадлежности адреса запрашиваемого пользователем сайта
или отдельной страницы сайта на наличие его в списках запрещенных ресурсов. Списки в свою
очередь поделены на категории для удобства администрирования и категоризации огромного
количества ресурсов в сети Интернет.
Таким образом вся мощь контент-фильтра ПК «Интернет-шлюз Ideco ICS 6» заключается в полноте списков и гибкости политик, применяемых к пользователям.
5.5.7.1
Глобальная настройка прокси сервера и контент-фильтра
Поскольку контент-фильтр работает с веб-трафиком, заостряем ваше внимание на том,
что модуль прокси сервер обязательно должен быть включен. Перейдите, пожалуйста, в раздел
«Сервер» → «Прокси-сервер» и убедитесь, что это так. По умолчанию этот модуль включен
сразу после установки ПК «Интернет-шлюз Ideco ICS 6». Так же, для того чтобы веб-трафик
пользователей заворачивался на прокси-сервер мы должны включить прозрачное кэширование. Скриншот настроек прокси сервера приведен на рисунке 153.
152
Рисунок 153 – прокси сервер
Итак, рассмотрим подробнее устройство и настройку контент-фильтра. Перейдите в
раздел административного веб-интерфейса «Сервер» → «Контент-фильтр» → «Параметры» и
включите контент-фильтр кнопками «Включить стандартный тип категорий» либо «Включить
расширенный тип категорий (Ideco Cloud WebFilter)».
Cтандартные категории содержатся в дистрибутиве и не требуют дополнительной
активации;
Расширенные категории требуют дополнительной лицензии или специальной активации демо-периода.
Рисунок 154 – расширенный тип категорий контент-фильтра
Перейдем на вкладку Категории и более подробно рассмотрим виды категории контентфильтра ПК «Интернет-шлюз Ideco ICS 6», они бывают трех видов: собственные, стандартные
и расширенные.
Собственные категории сайтов вы создаете самостоятельно перечислением доменов или
URL сайтов и отдельных страниц в сети Интернет. Все списки Собственных категорий можно
просматривать, дополнять и вносить изменения в любой момент времени.
153
Рисунок 155 – категории контент-фильтра
Стандартные категории работают точно так же как и в предыдущих версиях ПК «Интернет-шлюз Ideco ICS 6». Это неизменяемые, категоризированные списки Интернет-ресурсов,
хранящиеся прямо на вашем сервере и ежедневно обновляемые с наших серверов. Вы не можете
посмотреть содержимое этих списков, дополнить или изменить их. Эти списки присутствуют
на сервере с момента установки ПК «Интернет-шлюз Ideco ICS 6» и доступны к назначению
пользователям.
Рисунок 156 – стандартные категории контент-фильтра
Расширенные категории – это более полные, актуальные, качественно-отобранные и
детально-категоризированные списки интернет-ресурсов, хранящиеся на специальных серверах
с моментальным откликом. Эти списки обновляются постоянно. В стандартной поставке ПК
«Интернет-шлюз Ideco ICS 6» эти списки не доступны к использованию и требуют отдельной
активации: есть бесплатный демо-режим, ограниченный по времени и коммерческая лицензия.
154
Рисунок 157 – расширенные категории контент-фильтра
На следущем разделе «Исключения» администратору предоставляется возможность
создавать свои Белые и Черные списки сайтов. Обратите внимание, что контент-фильтр работает с любыми URL веб-адресов, поэтому Белые и Черные списки, как и «Категории», работают и с доменами ресурсов и с адресами конкретных страниц на сайтах. Белые и Черные
списки применяются глобально для всех пользователей сразу и призваны помочь скорректировать поведение контент-фильтра относительно отдельных ресурсов и страниц в сети. Так
же «Исключения» удобны для быстрого разрешения или запрета ресурсов глобально для всей
локальной сети, обслуживаемой ПК «Интернет-шлюз Ideco ICS 6» независимо от настроек
фильтрации в системе.
Рисунок 158 – исключения контент-фильтра
При использовании расширенных категорий очень объединять их в специальные группы, сделать это можно в разделе «Группы категорий»:
155
Рисунок 159 – группы категорий контент-фильтра
5.5.7.2
Применение категорий на пользователей
Для того чтобы доступ пользователя к ресурсам сети интернет контролировался по
настроенным категориям, нужно применить эти категории пользователю или группе пользователей. Без настройки фильтрации на группе или пользователе, доступ разрешен на любые
ресурсы сети Интернет. Поэтому перейдем к рассмотрению настройки правил фильтрации вебсодержимого глобальной сети для пользователей.
В настройках учетной записи пользователя на вкладке Контент-фильтр прежде всего выберем политику работы контент-фильтра для этого пользователя или его родительской
группы:
Рисунок 160 – настройка контент-фильтра для пользователя
– Разрешить, остальное запретить – ресурсы из примененных к пользователю или
группе Категорий будут разрешены к доступу, все остальные ресурсы, не указанные
в этих категориях будут запрещены к доступу
– Запретить, остальное разрешить – запрещает доступ к ресурсам, перечисленным в
примененных категориях, все остальные ресурсы разрешены для этого пользователя
или группы
Определив политику фильтрации веб-содержимого глобальной сети, назначьте пользователю категории сайтов из числа настроенных ранее Собственных, Стандартных или Расширенных категорий Контент-фильтра. В соответствии с политикой, примененной к пользователю, только ресурсы из этих списков или, наоборот, весь веб-контент глобальной сети, кроме
ресурсов из этих списков, будут доступны.
156
Примечание.
Стандартные и расширенные категории одновременно использоваться не могут.
Если необходимо использовать группы категорий, то поставьте галочку «Использовать
группу категорий» и выберите группу. В этом случае выбранные ранее отдельные категории
работать не будут.
Важная информация
– если правила фильтрации применены на группу пользователей, то они автоматически наследуются на всех пользователей внутри группы, если же
мы хотим на конкретном пользователе хотим их переопределить, то достаточно в его настройках выбрать нужные категории и группу категорий
и они заменят собой наследованные правила фильтрации.
– если же на вышестоящей группе в настройках контент-фильтра стоит галочка Использовать эти параметры для всех групп и пользователей в данной группе, то переопределить наследованные категории на конкретном
пользователе невозможно.
В настройках каждого пользователя, в отличии от группы, есть очень удобный и быстрый инструмент проверки сайта или страницы ресурса на возможность доступа для данного
пользователя в соответствии со всеми примененными к нему настройками фильтрации. Если
вы не уверены в принадлежности ресурса к назначенным на пользователя категориям, то в
поле Проверить от имени пользователя вы можете моментально это проверить.
Рисунок 161 – проверка сайта на возможность доступа
5.5.7.3
Настройка контент-фильтра для образовательного учреждения
Рассмотрим особый пример настройки системы фильтрации трафика для образовательных учреждений. В нашем примере требуется запретить доступ учащихся к любым ресурсам в сети Интернет кроме заранее определенных контролирующими органами. При этом
персонал учреждения не должны иметь каких либо ограничений.
157
Эта задача реализуется минимальными возможностями контент-фильтра путем создания собственных списков разрешенных сайтов, поэтому переходим в раздел административного интерфейса «Сервер» → «Контент-фильтр» → «Категории» → «Собственные». Именно
в создании собсвенных категорий разрешенных к посещению ресурсов сети Интернет состоит реализация поставленной задачи. В добавок к стандартной, уже присутствующей в нашем
продукте категории «Школа», создадим свою категорию, куда внесем рекомендованные контролирующими органами ресурсы сети Интернет. Если имеется несколько таких списков, то
можно создать несколько собственных категорий. В то же время, если содержимое предопределенной категории «Школа» не соответствует вашим задачам, вы можете просто отключить
или удалить эту категорию.
Примечание.
В данном примере достаточно будет активировать контент-фильтр со стандартным
списком категорий.
Перейдем к настройке пользователей. В нашем случае, исходя из разных политик доступа для разных клиентов локальной сети учреждения, разделим их условно на две группы:
«Учащиеся» и «Персонал» и создадим для них группы с соответствующими названиями. Наполним эти группы учетными записями пользователей и настроим их. Когда настройка будет
завершена перейдем в вкладку Контент-фильтр группы «Учащиеся». Подробнее о настройке пользователей и авторизации можно почитать в статьях про авторизацию и управление
пользователями. В соответствии с поставленной задачей выберем политику фильтрации для
группы «Разрешить, остальное запретить». Выберем созданные нами ранее собственные категории контент-фильтра. Флажок «Использовать группу категорий» не включаем. Сохраняем
изменения у группы и они моментально вступают в силу.
На группе «Персонал» не настраиваем правила контентной фильтрации. Таким образом пользователи этой группы выходят в Интернет без каких либо ограничений, что является
изначальным поведением сервера. Пользователи группы «Учащиеся» при этом выходят только
на заранее указанные сайты в созданных нами списках.
5.5.8
Защита от попыток неправомерной передачи защищаемой информа-
ции (DLP)
5.5.8.1
Общие настройки
Защита от попыток неправомерной передачи защищаемой информации (DLP) работает
совместно с прокси-сервером и почтовым сервером.
Модуль DLP-анализа веб-трафика требует для своей работы настроенный и работающий прокси сервер.
Модуль DLP-анализа почтового трафика требует для своей работы настроенный и
работающий почтовый сервер.
Модуль DLP-анализа служб мгновенных сообщений для своей работы дополнительных
модулей не требует.
Для того чтобы включить защиту от попыток неправомерной передачи защищаемой
информации, необходимо зайти в административный интерфейс под учетной записью главного
158
администратора, перейти на вкладку «Безопасность» → «Data Leak Prevention» и включить
необходимые модули:
– Включить модуль DLP-анализа веб-трафика;
– Включить модуль DLP-анализа почтового трафика;
– Перехватывать переписку по ICQ.
Затем необходимо перейти на страницу «Отпечатки» и загрузить образцы защищаемой
информации (отпечатки). В качестве отпечатков могут выступать файлы документов Word и
Excel, обычые текстовые документы, и любые другие файлы.
Требуется некоторое время (не больше 15 минут), для того чтобы модуль DLP-анализа
проанализировал содержимое документов и сохранил информацию в базе данных. В базе данных хранится только сигнатурная информация о документе, после анализа исходные документы удаляются. Статус обработки защищаемых документов можно посмотреть на странице
«Отпечатки».
5.5.8.2
Настройка пользователей
Проверка на попытки неправомерной передачи защищаемой информации осуществляется для каждого пользователя индивидуально.
Поэтому чтобы включить проверку на пользователе, нужно перейти на вкладку «Пользователи», выбрать пользователя, трафик которого будет проверяться на попытки неправомерной передачи защищаемой информации, нажать на ссылку «Дополнительно», отметить пункт
«Включить контроль утечек информации» и нажать кнопку «Сохранить».
В дальнейшем каждая попытка неправомерной передачи информации этим пользователем будет пресекаться, пользователю будет отправлено сообщение о блокировании передачи
(рисунок 162).
Рисунок 162 – Сообщение о блокировании передачи в письме защищаемой информации
Факты передачи защищаемых материалов записываются в журнал, хранящийся в базе
данных. Чтобы просмотреть журнал событий, нужно перейти на вкладку «Безопасность» →
«Data Leak Prevention» → «Перехвачено» (рисунок 163.
159
Рисунок 163 – Отчет о перехвате передачи защищаемой информации
Также можно просмотреть общие отчеты работы модуля DLP на вкладке «Общие отчеты» (рисунок 164).
Рисунок 164 – Отчет о работе модуля DLP
160
6
6.1
6.1.1
ОБСЛУЖИВАНИЕ
Установка сертифицированного антивируса
Установка сертифицированного антивируса Dr.Web
В ПК «Интернет-шлюз Ideco ICS 6» поддерживается установка сертифицированной
версии Dr.Web для почты и для Интернет.
Перед установкой сертифицированного антивируса Dr.Web нужно загрузить ICS в режиме удалённого помощника (раздел 6.3.1).
Затем нужно зайти на сервер по протоколу ssh.
В каталоге /tmp создать временный каталог, например /tmp/drweb.
Скопировать в созданный временный каталог /tmp/drweb файлы:
drweb-internet-gateways_6.0.2.3-1303201416+fstek~linux_x86.run
drweb-mail-servers-av-as_6.0.2.3-1303212047+fstek~linux_x86.run
Cделать эти файлы исполняемыми:
chmod +x *.run
6.1.1.1
Установка сертифицированного антивируса Dr.Web для Интернет
Запустить инсталлятор антивируса для Интернет:
./drweb-internet-gateways_6.0.2.3-1303201416+fstek~linux_x86.run
Выбрать кастомную установку;
Выбрать пункты:
[ ] 1 Custom drl for Dr.Web Bases v6.0.2.0 (new)
[ ] 2 Custom drl for Dr.Web ICAP Daemon v6.0.2.0 (new)
[ ] 3 Dr.Web Agent - Additional files to run Dr.Web Agent in central protection mode v6
[ ] 4 Dr.Web Agent v6.0.2.3 (new)
[X] 5 Dr.Web Bases v6.0.2.0 (new)
[ ] 6 Boost, third party C++ libraries needed for Dr.Web v6.0.2.1 (new)
[X] 7 Dr.Web Common Files v6.0.2.3 (new)
[X] 8 Dr.Web Antivirus Daemon v6.0.2.3 (new)
[ ] 9 Dr.Web EPM - Library for X11 epm gui v6.0.2.1 (new)
[ ] 10 Dr.Web EPM - Dr.Web uninstaller v6.0.2.1 (new)
[X] 11 Dr.Web ICAP DWS v6.0.2.0 (new)
[ ] 12 Dr.Web ICAPd Web Interface v6.0.2.3 (new)
[X] 13 Dr.Web ICAP Daemon v6.0.2.3 (new)
[ ] 14 Dr.Web internet gateways documentation v6.0.2.2 (new)
[X] 15 Essential third party libraries needed for Dr.Web on x86 systems v6.0.2.1
[ ] 16 Dr.Web Monitor v6.0.2.3 (new)
[ ] 17 Dr.Web Antivirus Scanner v6.0.2.3 (new)
[X] 18 Dr.Web Updater v6.0.2.4 (new)
161
Согласиться с лицензией, установить файлы.
Отказаться от автоматической настройки и завершить установку.
6.1.1.2
Установка сертифицированного антивируса Dr.Web для почты
Запустить инсталлятор антивируса для почты:
./drweb-mail-servers-av-as_6.0.2.3-1303212047+fstek~linux_x86.run
Выбрать кастомную установку;
Выбрать следующие пункты:
[ ] 1 Custom drl for Dr.Web Bases v6.0.2.0 (new)
[ ] 2 Dr.Web Agent - Additional files to run Dr.Web Agent in central protection
mode v6.0.2.3 (new)
[X] 3 Dr.Web Agent v6.0.2.3 (new)
[ ] 4 Dr.Web Bases v6.0.2.0 (installed)
[X] 5 Boost, third party C++ libraries needed for Dr.Web v6.0.2.1 (new)
[X] 6 Dr.Web Common Files v6.0.2.3 (installed)
[ ] 7 Dr.Web Antivirus Daemon v6.0.2.3 (installed)
[ ] 8 Dr.Web EPM - Library for X11 epm gui v6.0.2.1 (new)
[ ] 9 Dr.Web EPM - Dr.Web uninstaller v6.0.2.1 (new)
[X] 10 Google performance analysis tools needed for Dr.Web v6.0.2.0 (new)
[X] 11 Essential third party libraries needed for Dr.Web on x86 systems v6.0.2.1
[X] 12 Dr.Web VadeRetro antispam v6.0.2.0 (new)
[ ] 13 Dr.Web mail server and mail gateways documentation v6.0.2.2 (new)
[ ] 14 Dr.Web Mail Daemon - CommuniGate Pro connector v6.0.2.2 (new)
[X] 15 Dr.Web Mail Daemon - common files v6.0.2.2 (new)
[ ] 16 Dr.Web Mail Daemon - Courier Mail Server connector v6.0.2.2 (new)
[ ] 17 Dr.Web Mail Daemon - Exim connector v6.0.2.2 (new)
[X] 18 Dr.Web Mail Daemon - Dr.Web plugin v6.0.2.2 (new)
[ ] 19 Dr.Web Mail Daemon - HeadersFilter plugin v6.0.2.2 (new)
[ ] 20 Dr.Web Mail Daemon - Modifier plugin v6.0.2.2 (new)
[X] 21 Dr.Web Mail Daemon - VadeRetro plugin v6.0.2.2 (new)
[X] 22 Dr.Web Mail Daemon - Postfix connector v6.0.2.2 (new)
[ ] 23 Dr.Web Mail Daemon - qmail connector v6.0.2.2 (new)
[ ] 24 Dr.Web Mail Daemon - Sendmail connector v6.0.2.2 (new)
[ ] 25 Dr.Web Maild Web Interface v6.0.2.2 (new)
[ ] 26 Dr.Web Mail Daemon - ZMailer connector v6.0.2.2 (new)
[X] 27 Dr.Web Mail Daemon v6.0.2.2 (new)
[X] 28 Dr.Web Monitor v6.0.2.3 (new)
[ ] 29 Dr.Web Antivirus Scanner v6.0.2.3 (new)
[X] 30 Dr.Web Updater v6.0.2.4 (installed)
Согласиться с лицензией, установить файлы;
162
Отказаться от автоматической настройки и завершить установку;
Запустить скрипт настройки:
/usr/local/ics/bin/drweb-configure
6.1.1.3
Настройка сертифицированного антивируса Dr.Web для почты и
Интернет
Для настройки, запуска антивируса Dr.Web зайдите в административный веб-интерфейс
и перейдите на вкладку «Антивирус Dr.Web» (рисунок 165).
Рисунок 165 – Антивирус Dr.Web
Для работы Dr.Web необходимо загрузить ключевой файл. Нажмите кнопку «Выберите файл», в открывшемся диалоговом окне выберите ключевой файл. Проверьте, что рядом с
кнопкой «Выберите файл» отображается имя выбранного файла (например, «enterprize.key»).
Нажмите на кнопку «Загрузить ключ».
После успешной загрузки выведется сообщение «Ключ загружен успешно» и выведется
информация о введенном ключе (рисунок 165).
После этого, отметив соответствующие пункты, можно:
– Включить Антиспам;
– Включить Антивирус для почты;
– Включить Антивирус для Интернет.
6.2
6.2.1
Резервное копирование и восстановление данных
Резервное копирование
Предоставление пользователям стабильного доступа в сеть Интернет является основной задачей, решаемой интернет-шлюзом. Но иногда случаются ситуации, которые приводят
к сбоям в работе системы и последующему нарушению доступа в интернет. В зависимости от
сложности сбоя может потребоваться полная переустановка интернет-шлюза и восстановление
163
данных из резервных копий. В этом разделе вы найдете описание процесса создания резервных
копий интернет-шлюза ПК «Интернет-шлюз Ideco ICS 6».
В зависимости от того, где вы собираетесь хранить резервные копии, ПК «Интернетшлюз Ideco ICS 6» поддерживает следующие типы автоматического резервного копирования:
– на сетевое файловое хранилище по протоколу FTP;
– на сетевое файловое хранилище по протоколу NetBIOS;
– на локальный жесткий диск.
Для настройки автоматического резервного копирования перейдите в следующий раздел административного web-интерфейса «Сервер» → «Резервное копирование». В этом разделе
вы сможете настроить каждый из типов резервирования данных. Интерфейс выбора типа резервного копирования в графической панели управления представлен на рисунке 166.
Рисунок 166 – настройка резервирования данных в web-интерфейсе
Также вы можете настроить резервное копирование с помощью локальной консоли.
Для этого необходимо перейти в раздел локального меню «Резервное копирование» → «Локальные резервные копии БД». В этом разделе вы сможете настроить каждый из типов резервирования данных. Интерфейс выбора типа резервного копирования в локальной консоли
представлен на рисунке 167.
Рисунок 167 – настройка резервирования данных в локальной консоли
Для каждого из типов резервирования возможно указание периода создания копий.
– Ежедневно – копии будут создаваться 1 раз в день.
– Еженедельно – копии будут создаваться 1 раз в неделю.
– Ежемесячно – копии будут создаваться 1 раз в месяц.
164
6.2.2
Резервное копирование на сетевое хранилище по протоколу FTP
Данный тип предусматривает запись резервных копий на FTP-сервер.
Параметры настройки резервного копирования на FTP-сервер:
IP-адрес FTP-сервера
Адрес удаленного FTP-сервера, на котором будут размещаться копии БД.
Имя пользователя
Логин для авторизации на FTP-сервере.
Пароль
Пароль для авторизации на FTP-сервере.
Каталог на FTP-сервере
Каталог, в который будут записываться копии БД.
Ежедневная/Еженедельная/Ежемесячная запись
Временные интервалы, через которые будет производиться резервное копирование
БД пользователей. Можно выбрать все 3 пункта одновременно.
Дополнительно сохранять каталоги
Содержимое указанных каталогов на сервере будет также копироваться на FTPсервер (например, /var/log/squid).
Интерфейс управления резервным копированием на FTP-сервер в локальной консоли
показан на рисунке 168.
Рисунок 168 – управление резервным копированием на FTP-сервер в локальной консоли
Интерфейс управления резервным копированием на FTP-сервер в web-интерфейсе показан на рисунке 169.
165
Рисунок 169 – управление резервным копированием на FTP-сервер в web-интерфейсе
6.2.3
Резервное копирование на сетевое хранилище по протоколу NetBIOS
Данный тип резервного копирования предусматривает запись копии на сервер по протоколу NetBIOS. Ключевые параметры, необходимые для настройки резервного копирования
на NetBIOS-сервер:
IP-адрес NetBIOS-сервера
Адрес удаленного NetBIOS-сервера, на котором будут размещаться копии БД.
Имя пользователя
Логин для авторизации на сетевом ресурсе Windows.
Пароль
Пароль для авторизации на сетевом ресурсе Windows.
Общая папка на NetBIOS-сервере
Каталог, в который будут записываться копии БД.
Ежедневная/Еженедельная/Ежемесячная запись
Временные интервалы, через которые будет производиться резервное копирование
БД пользователей. Можно выбрать все 3 пункта одновременно.
Дополнительно сохранять каталоги
Содержимое указанных каталогов на сервере будет также копироваться на NetBIOSсервер (например, /var/log/squid).
Интерфейс управления резервным копированием на NetBIOS-сервер в локальной консоли показан на рисунке 170.
166
Рисунок 170 – управление резервным копированием на NetBIOS-сервер в локальной консоли
Интерфейс управления резервным копированием на NetBIOS-сервер в web-интерфейсе
показан на рисунке 171.
Рисунок 171 – управление резервным копированием на NetBIOS-сервер в web-интерфейсе
6.2.4
Копирование файлов на локальный компьютер
Копирование файлов используется для резервного копирования, восстановления. Для
копирования файлов можно использовать WinSCP, либо другую программу для копирования
файлов по протоколу SSH. Дистрибутив программы WinSCP можно найти в Интернете по
адресу: http://winscp.net. Программа распространяется бесплатно.
Для обеспечения копирования файлов между сервером и локальным компьютером в
административном web-интерфейсe перейдите в раздел «Безопасность» → «Дополнительные
настройки». Включите пункт «Разрешить полное удаленное управление по SSH», показанный
167
на рисунке 172. Выполните полную перезагрузку сервера.
Рисунок 172 – разрешение удаленного управления по SSH
После этого можно подключиться к серверу из локальной сети. Доступ из Интернета
отсутствует. Настройки подключения из локальной сети к серверу приведены на рисунке 173.
Используйте следующие реквизиты для входа:
«Host name:» адрес шлюза ПК «Интернет-шлюз Ideco ICS 6» в локальной сети;
«Port number:» 22;
«User name:» sysadm;
«Password:» servicemode.
Важная информация Пароль «servicemode» установлен по умолчанию, поэтому используйте ваш действующий пароль от локального меню.
Рисунок 173 – настройки подключения к серверу из локальной сети
Если вы все сделали верно, нажмите кнопку «Login». После подключения вы увидите окно, похожее на обычный двухпанельный файловый менеджер, представленный на рисунке 174. Левая панель отображает содержимое вашего локального компьютера, а правая –
файловую систему ПК «Интернет-шлюз Ideco ICS 6». Нас интересует каталог «/var/backup»,
находящийся в файловой системе ПК «Интернет-шлюз Ideco ICS 6».
168
Рисунок 174 – основное окно WinSCP
6.2.5
Резервное копирование на локальный жесткий диск
Локальные резервные копии БД – копии БД пользователей, которые хранятся на локальном жестком диске интернет-шлюза ПК «Интернет-шлюз Ideco ICS 6». Интерфейс управления резервными копиями в локальной консоли представлен на рисунке 175. С его помощью
вы можете выполнять следующие действия над локальными копиями:
– Кнопка «Загрузить» позволяет восстановить выбранную резервную копию и вернуть
предыдущее состояние базы данных.
– Кнопка «Создать» позволяет создать резервную копию БД пользователей. Копии
БД создаются автоматически ежедневно.
– Кнопка «Удалить» позволяет удалить выбранную резервную копию БД пользователей.
Перечень локальных резервных копий БД показан на рисунке 175.
169
Рисунок 175 – управление резервными копиями в локальной консоли
Перед резервным копированием необходимо разрешить копирование файлов по SSH
(раздел 6.2.4).
Процесс восстановления данных из резервных копий можно разделить на три этапа:
– копирование данных с сервера на локальный компьютер;
– перенос резервных копий с локального компьютера на новый сервер;
– восстановление БД из резервных копий.
6.2.5.1
Этап 1: Копирование резервных копий с сервера
Первым этапом восстановления данных из резервных копий является копирование данных со старого сервера на локальный компьютер. Для этого разрешите копирование файлов
по SSH (раздел 6.2.4).
После этого можно подключаться к серверу из локальной сети. Доступ из интернета
отсутствует. Настройки подключения из локальной сети к серверу приведены на рисунке 176.
Используйте следующие реквизиты для входа:
«Host name:» адрес шлюза ПК «Интернет-шлюз Ideco ICS 6» в локальной сети;
«Port number:» 22;
«User name:» sysadm;
«Password:» servicemode.
Важная информация. Пароль «servicemode» установлен по умолчанию, поэтому используйте ваш действующий пароль администратора.
170
Рисунок 176 – настройки подключения к серверу из локальной сети
Если вы все сделали верно, нажмите кнопку «Login». После подключения вы увидите окно, похожее на обычный двухпанельный файловый менеджер, представленный на рисунке 177. Левая панель отображает содержимое вашего локального компьютера, а правая –
файловую систему ПК «Интернет-шлюз Ideco ICS 6». Нас интересует каталог «/var/backup»,
находящийся в файловой системе ПК «Интернет-шлюз Ideco ICS 6».
Рисунок 177 – основное окно WinSCP
на рисунке 178 показано, что архивы с резервными копиями БД хранятся в подкаталоге
/var/backup/db (файлы с расширением .gbk). Вы можете выборочно скопировать нужные вам
файлы из этой папки или полностью весь каталог «backup» на свой компьютер.
171
Рисунок 178 – Содержимое каталога «/var/backup»
6.2.5.2
Этап 2: Перенос резервных копий на новый сервер
На данном этапе необходимо перенести на новый сервер резервные копии, сохраненные
на локальном компьютере. Для этого выполните следующие действия.
– Для подключения к серверу, настройте локальный интерфейс. Перейдите в раздел
«Безопасность» → «Дополнительные настройки» web-интерфейса сервера. Активируйте пункт «Разрешить полное удаленное управление по SSH».
– После этого подключитесь к серверу из локальной сети с помощью программы
WinSCP по порту 22. Используйте «sysadm» в качестве логина. Адрес сервера и
пароль должны соответствовать настройке вашего нового сервера.
– Скопируйте резервные копии БД с компьютера на сервер в подкаталог
/var/backup/db.
Если вы все сделали верно, то резервные копии должны появиться в списке раздела локального
меню «Резервное копирование» → «Локальные резервные копии БД» нового сервера.
6.2.5.3
Этап 3: Восстановление БД из резервных копий
Для восстановления базы данных пользователей необходимо загрузить сервер в защищенном режиме («SAFEMODE»). Для этого в локальном меню сервера в разделе «Перезагрузка» выберите пункт «Перейти в SAFEMODE», показанный на рисунке 179.
172
Рисунок 179 – перезагрузка сервера
После загрузки сервера в режиме «SAFEMODE», перейдите в раздел хранения резервных копий БД локального меню «Резервное копирование» → «Локальные резервные копии
БД». Выберите нужную вам копию базы данных и нажмите кнопку «Загрузить».
После того, как резервная копия базы данных будет успешно восстановлена в системе,
перезагрузите сервер в обычном режиме.
Примечание.
Если вы копируете резервные копии на новый жесткий диск, например, при переустановке сервера, то после восстановления БД и конфигурации из резервной копии
вам необходимо заново пройти процесс активации.
6.3
Режим удаленного помощника
Чтобы служба технической поддержки могла подключиться к вашему серверу удаленно, его необходимо загрузить в режиме удаленного помощника. Работа сервера в таком режиме
не влияет на работу пользователей.
Возникают ситуации, когда необходимо воспользоваться правами пользователя root.
Режим удаленного помощника позволяет создавать такого пользователя, но он сохраняется
только до следующей перезагрузки сервера.
6.3.1
Загрузка сервера в режиме удаленного помощника
Чтобы загрузить сервер в режиме удаленного помощника необходимо выполнить следующие действия.
1. Вам необходимо вызвать строку с приглашением для ввода команды. Для этого в
меню загрузчика сервера (рисунок 180) нажмите клавишу «a».
173
Рисунок 180 – Загрузчик ПК «Интернет-шлюз Ideco ICS 6»
2. Придумайте временный пароль для удаленного помощника.
3. Введите в строку с приглашением следующую комбинацию: «p=пароль». От остальных параметром «p=пароль» должен отделяться пробелами: например: «p=password»
(рисунок 181). После этого нажмите «Enter».
Рисунок 181 – Редактирование команды загрузки
4. Должна начаться обычная загрузка системы, после которой сервер начнет функционировать в обычном режиме.
5. Отправьте специалисту технической поддержки внешний IP-адрес и временный пароль, который вы указали после «p=».
174
6.4
Работа из консоли сервера от имени пользователя root в режиме
удаленного помощника
Чтобы организовать работу из консоли сервера от пользователя root в режиме удален-
ного помощника необходимо выполнить следующие действия:
1. Запустите консоль. Для этого нажмите Alt+F7.
2. В поле «login:» введите root, в появившемся поле «Password:» введите временный
пароль, который вы указали после «p=».
Вы вошли в систему с правами пользователя root. Об этом свидетельствует символ «#» в
строке с приглашением.
6.4.1
Работа с сервером удаленно в режиме удаленного помощника
Чтобы организовать работу с локальной консолью сервера удаленно по протоколу SSH
от пользователя root в режиме удаленного помощника необходимо выполнить следующие действия.
1. Подключитесь к серверу с помощью SSH-клиента putty. Программа бесплатна и
скачать ее вы можете с web-сайта разработчика или из каталога utils, размещенного
на установочном диске ПК «Интернет-шлюз Ideco ICS 6».
2. При подключении из локальной сети используйте адрес, который настроен на локальной сетевой карте ПК «Интернет-шлюз Ideco ICS 6». Введите необходимые параметры для подключения:
– порт – 33;
– логин – root;
– временный пароль, который вы указали после «p=».
Символ «#» свидетельствует о том, что вы работаете от имени пользователя root.
6.4.2
Удаленный доступ к локальному меню сервера
Существует несколько способов удаленного доступа к меню сервера:
– подключение из локальной сети;
– подключение из интернета.
6.4.2.1
Подключение из локальной сети
Подключение к локальному меню осуществляется по SSH. Для организации доступа
из локальной сети к меню сервера необходимо выполнить следующие действия.
1. Разрешить управление файлами по SSH. Для этого перейдите в меню «Безопасность» → «Дополнительные настройки» и активируйте пункт «Разрешить управление файлами по SSH».
175
2. Подключиться к серверу с помощью любого SSH-клиента (например, putty), используя 22 порт. Необходимо указать логин sysadm и пароль как в локальной консоли
(по умолчанию servicemode).
Используйте команду menu для запуска меню, команду mc – для запуска файлового менеджера.
6.4.2.2
Подключение из интернета
Важная информация. Подключение к серверу по SSH из интернета под пользователем sysadm невозможно. Порт 22 открыт только для доступа из локальной сети. Такие
ограничения установлены в целях повышения безопасности.
Для подключения по SSH из интернета к локальному меню сервера необходимо выполнить следующие действия.
1. Загрузить сервер в режиме удаленного помощника.
2. Подключиться к серверу с помощью любого SSH-клиента (например, putty), используя 33 порт. Необходимо указать логин root и пароль, который был назначен при
загрузке в режиме удаленного помощника.
Используйте команду menu для запуска меню, команду mc – для запуска файлового
менеджера.
Примечания:
1. Подключение под пользователем root из локальной сети на локальный адрес сервера
осуществляется по порту 33 протокола TCP.
2. При загрузке в режиме удаленного помощника root будет создан только до следующей перезагрузки сервера.
176
7
ПРИЛОЖЕНИЯ
Приложение А
Схема и состав ПК «Интернет-шлюз Ideco ICS 6»
Рисунок 182 – схема ПК «Интернет-шлюз Ideco ICS 6»
ПК «Интернет-шлюз Ideco ICS 6» состоит из СЗИ «Интернет-шлюз Ideco ICS 6» и
Коммуникационного центра (КЦ) «Интернет-шлюз Ideco ICS 6». КЦ «Интернет-шлюз Ideco
ICS 6»– ряд дополнительных сервисов не связанных с защитой информации и функционирущих
непосредственно за межсетевым экраном.
СЗИ ПК «Интернет-шлюз Ideco ICS 6» включает в себя:
– Ядро Linux. С подсистемой фильтрации сетевых пакетов.
– Управляющие программы. Отвечают за загрузку и управление правилами фильтрации, подключение пользователей к серверу, алгоритмы тарификации, контроль
доступа, сбор статистики.
– База Данных. Хранит информацию о пользователях и другие данные, необходимые
для работы ПК «Интернет-шлюз Ideco ICS 6».
– Фильтр сетевых пакетов на базе netfilter (Firewall). Фильтрует трафик по задаваемым правилам для защиты серверов и пользователей от Интернет-атак, запрещает
заданные Интернет-ресурсы. Встроенный Firewall может ограничивать скорость соединений, правильно распределять ширину канала. Кроме того, есть возможность
фильтровать трафик по типу и по содержимому.
– Подсистема регистрации и учета. Системный журнал (rsyslog) обеспечивающий регистрацию и учет для различных подсистем ПК «Интернет-шлюз Ideco ICS 6».
177
– Веб-интерфейс администратора. Позволяет редактировать свойства пользователей,
включать и отключать службы сервера, редактировать профили выхода в Интернет.
– Локальная консоль управления сервером. Используется при установке сервера для
первоначального конфигурирования. В локальной консоли включаются параметры безопасности, проводится сервисное обслуживание, включаются и выключаются
службы.
Приложение Б
Принцип работы и назначение ПК «Интернет-шлюз Ideco ICS 6»
Основное назначение ПК «Интернет-шлюз Ideco ICS 6»– выполнять контроль над информацией, поступающей в сеть ЭВМ и/или выходящей из сети ЭВМ, и обеспечивать ее защиту
посредством фильтрации информации, т.е. ее анализа по совокупности критериев и принятия
решения о ее распространении в/из сети ЭВМ. ПК «Интернет-шлюз Ideco ICS 6» работает
по следующему принципу: он устанавливается на границе между локальной сетью предприятия и внешней сетью ( например Интернет), по умолчанию запрещено любое взаимодействия
между локальной и внешней сетью, если требуется дать доступ пользователю из локальной
сети ко внешней, то необходимо создать разрешающие правила в ПК «Интернет-шлюз Ideco
ICS 6». Это позволяет полностью управлять трафиком и обеспечивать защиту локальной сети от внешних угроз. Все действия по фильтрации пакетов регистрируются в специальном
системном журнале.
1. Пакеты принимаются и отправляются встроенными драйверами ядра Linux
2. Непосредственная фильтрация пакетов осуществляется подсистемой netfilter ядра
Linux в которую попадают все IP пакеты.
3. Правила фильтрации хранятся в базе данных.
4. Настройка ПК «Интернет-шлюз Ideco ICS 6» и правил фильтрации производится
администратором через веб-интерфейс, настройки сохраняются в базе данных.
5. Правила фильтрации загружаются из БД в ядро linux скриптами: firewall.sh,
firewall_custom.sh c использованием программы iptables, а также программой icsd
с использованием библиотек iptables. Загрузка правил происходит при старте ПК
«Интернет-шлюз Ideco ICS 6» или при нажатии на кнопку перезагрузки правил МЭ
в веб-интерфейсе.
178
В сети предприятия рекомендуется использовать локальные IP-адреса, рекомендуются адреса из диапазона 10.0.0.2 – 10.127.255.255 или 192.168.0.0 – 192.168.255.255. На
сервере создаются или импортируются пользователи и выбирается способ авторизации. После авторизации предоставляется доступ к Интернет, возможно использование маскировки с
использованием технологии NAT.
При авторизации по IP или по IP + MAC компьютер с этим IP-адресом всегда имеет
доступ в Интернет. При указании MAC-адреса компьютеры могут получать статические IPадреса через DHCP.
Во время работы пользователя ведется статистика расхода трафика в соответствие с
указанным профилем выхода в Интернет и, если превышен лимит, то происходит отключение.
Приложение В
Контакты
Всю информацию по приобретению продуктов, обновлениям, технической поддержке
можно получить на нашем сайте http://www.ideco.ru. Также вы можете связаться с нами по
e-mail info@ideco.ru или телефонам +7 (495) 987-32-70, +7 (343) 345-15-75.
179
Лист регистрации изменений
Изм.
Входящий №
Номера листов (страниц)
сопроводианну- Всего листов
изме- заме№
тельного
лиро- (страниц) в
неннен- новых
докум.
докум. и
вандокум.
ных
ных
дата
ных
Подп.
Дата
Скачать