Zip File, бородатые любители роутеров и управляемых коммутаторов. Каждый, сколь бы то ни было опытный сисадмин, замороченный на безопасности своей сетки, мечтает о так называемой волшебной коробке, которая обеспечит решение всех проблем. Такой коробкой среди шарящих членов комьюнити принято считать различные UTM решения. Сам термин родом прямиком из лохматых двухтысячных и в дословном переводе означает объединённое управление угрозами. Т.е. это действительно инструмент, по сути, защищающий вас по всем основным направлениям. В современные UTM входит контент-фильтрация для защиты от веб-угроз.
Ибо, давно понятно, что самой большой угрозой являются сами пользователи. И как бы вы не огородили технически сеть от утечек их данных, они сами зайдут на фишинговый сайт, сами введут все пароли и как миленькие скачают эксплоит на рабочую станцию.
В общем, проверка web-трафика, это святое. Помимо этого, качественный UTM должен уметь фильтровать пакеты и выступать в качестве прокси-сервера для устройств ЛВС.
Его можно назначить в качестве шлюза по умолчанию и установить на границе корпоративной сети, отгородившись тем самым от опасностей внешнего мира, словно щитом.
А опасностей, там мягко скажем не мало. Особенно учитывая нынешнюю напряжённую ситуацию, в которой все государственные и окологосударственные учреждения обязали отключить по максимуму все обновления операционок и софта с внешних серверов.
Подобное нововведение делает вопрос безопасности всё более актуальным и ставит в приоритет процесс импортозамещения. Именно поэтому в данном видео мы будем разбирать не какую-то забугорную разработку, а наше, родное, отечественное решение от Российской компании из славного Екатеринбурга.
Если вам интересно, на что способна самая современная версия межсетевого экрана от ведущей компании в области производства продуктов для фильтрации трафика и безопасности сетевых структур любого уровня сложности, тогда устраивайтесь по удобней.
Наливайте себе прохладительный морс, откидывайтесь по максимуму в пропуканом кресле, и приготовьтесь слушать тру стори про один из самых инновационных продуктов для защиты вашей сети. Погнали.
Загрузка и установка Ideco UTM 13
Первым делом заходим на официальный сайт компании Айдеко и жмём по большой оранжевой кнопке для скачивания последней версии UTM.
Попав на страницу входа проходим несложный процесс регистрации, либо логинимся под имеющимся аккаунтов в одном из представленных сервисов.
И наконец переходим к загрузке заветного образа. Обращаю ваше внимание, что версии обновляется регулярно и на в вашем случае она может отличаться от той, что я использую на момент записи данного видеоролика.
После загрузки записываем образ на флешку, либо закидываем его в любой гипервизор и создаём виртуальную машину под эту историю на базе Федоры. Тут важно учесть пару нюансов. Ideco UTM в обязательно порядке требует включить для работы поддержку EFI. Т.е. старый добрый BIOS не катит.
Также потребуется отключить режим Legacy загрузки (он же CSM) и деактивировать опцию Secure Boot. Для нормальной работы нужно минимум 60 свободных гигов на винте и 8 в оперативе. Без этого минимала дистрибутив просто не начнёт установку.
После того, как мы разобрались с датой и временем, инсталлятор просит создать аккаунт администратора защищённый пассвордом.
Логинимся под этой учёткой.
Указываем сетевую карту, смотрящую в вашу локальную сеть и задаём для неё параметры в виде маски и IP адреса.
На этом процесс установки Ideco закончен. Как видите, ничего сложного. Для удобства дальнейшей настройки можно отправить тачку в ребут и после включения заломиться уже непосредственно по айпишнику в Web-интерфейс.
Для этого вводим в адресной строке IP адрес и порт 8443. Сама админка работает по протоколу HTTP, это нормально. Поэтому не стоит пугаться этих предупреждений.
Браузер предложит ввести данные для входа, указанные при установке Ideco. Вводим их, и проваливаемся панель управления.
Если же вам вдруг по каким-то причинам не хочется пока устанавливать данный UTM на гипервизор или реальный компьютер, можно воспользоваться демонстрационной версией перейдя по соответствующей ссылке в своём кабинете.
Базовая настройка Ideco UTM 13
После того, как мы попали в админ-панель, следует сразу настроить внешний сетевой интерфейс, смотрящий в глобальную сеть. Для этого переходим на вкладку «Сервисы» и нажав на плюсик выбираем пункт «Внешний Ethernet».
Далее выбираем сетевуху, смотрящую в интернет.
Вводим данные IP-адреса, маску и шлюз. DNS можно оставить по умолчанию. Либо можно воспользоваться возможностями DHCP, если у вас не статика в этой истории. Сохраняем.
Видим, что на созданном интерфейсе значок с планетой горит зелёным, а значит доступ в Инет на сервере появился.
Далее необходимо зарегистрировать лицензию сервера. Для этого на вкладке «Лицензия» кликаем по соответствующему пункту.
И авторизовавшись в личном кабинете, регистрируем созданный сервер присваивая ему статус полнофункциональной демонстрационной лицензии на 40 дней с возможностью подключить до 10 000 пользователей.
В случае, если у вас уже куплен вариант для коммерческого использования – можно воспользоваться соответствующей кнопкой для добавления уникального токена.
Добавление пользователей и авторизация
Самое время разобраться с вопросом авторизации пользователей на сервере. Для этого прежде всего следует создать им учётки. Переходим во вкладку «Пользователи», «Учётные записи» и добавляем нового юзверя.
Задаём ему имя, присваиваем логин с паролем и дополнительно задаём IP-адрес, т.к. в рамках локальной сети, проще всего авторизацию осуществлять по нему.
Включаем постоянную авторизацию по IPшнику и на этом этапе уже можно смело проверять появился ли интернет на клиенте. Главное не забудьте прописать данные сервера Ideco в качестве адреса дефолтного шлюза и DNS на рабочей машине.
Если же способ с авторизацией по IP вас не вполне устраивает ввиду постоянно растущего парка машин и используемого в сети DHCP-сервера, можно использовать вариант аутентификацией посредством веб-интерфейса. Пользователи либо будет сами вводить комбинацию логина и пароля, либо, если у вас путная сеть, эти данные будут автоматически подтягиваться из AD.
Нововведения в Ideco UTM 13
Такие дела малята. Это что касается наиболее популярных вариантов авторизации. Если же в вашей организации есть сотрудники трудящиеся на удалёнке, то для них можно включить двухфакторную аутентификацию по VPN.
Также, в новой версии шлюза Ideco разработчики внедрили маршрутизацию BGP типа. Т.е. можно скачать и использовать все доступные Интернет-маршруты.
Помимо этого, кардинальные изменения претерпела система отчётов. В ней значительно увеличилась скорость работы БД, что особенно актуально в сетях с большим числом пользователей и огромными потоками трафика.
Более подробно об этом, а также других нововведениях в 13 версии вы можете узнать, ознакомившись с часовым вебинаром на официальном канале Айдеко. Ссылку на него, я само собой, закреплю в описании.
Ну а на сим нынче всё. Обязательно напишите, какой инструмент для распределения и фильтрации трафика лично вы используете в своей рабочей сети и с какими головняками сталкиваетесь на постоянной основе.
Очень надеюсь, что обзор оказался полезным и вы отлично провели время. С вами, как обычно, был Денчик. В заключении, по традиции желаю всем досмотревшим до этой минуты удачи, успеха и самое главное, отличного настроения.
Берегите себя и свои сети, пользуйтесь только надёжными, проверенными решениями. Поддерживайте отечественных разработчиков. И будет вам счастье. До новых встреч, мои кайфные друже. Всем пока.