0 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Знакомство с Ideco ICS

Содержание

Ideco ICS

Ideco ICS (Internet Control Server) — надежный интернет-шлюз для контроля и управления доступом в Интернет и защиты от электронных угроз.

Язык интерфейса: Русский

Ideco ICS (Internet Control Server) — надежный интернет-шлюз для контроля и управления доступом в Интернет и защиты от электронных угроз.

Включает все компоненты, необходимые для построения современной сетевой инфраструктуры:

  • Контентная фильтрация для ограничения доступа к веб-ресурсам;
  • Система формирования отчетов для руководителя ;
  • Интеллектуальная приоритезация трафика;
  • Оптимизация и балансировка загрузки каналов;
  • Удаленное подключение сотрудников и локальных офисов;
  • Интеграция с Active Directory;
  • Несколько типов брандмауэров, включая брандмауэр приложений;
  • Почтовый сервер с Антивирусом и Антиспамом;
  • Технологии Лаборатории Касперского для защиты от внешних угроз.

Интернет-шлюз Ideco ICS поможет обеспечить качественный, надежный и безопасный доступ в интернет предприятию любого масштаба.

Модуль контентной фильтрации

В версии 5.1 интернет-шлюз Ideco ICS включает два типа контент-фильтра:

Зачем нужна контентая фильтрация?

Наиболее ярко свою эффективность контент-фильтр демонстрирует при использовании модуля Ideco Сloud WebFilter и его расширенных категорий.

Контроль ICQ-сообщений

Для предприятий, политика информационной безопасности которых требует контроля над перепиской сотрудников с помощью систем мгновенных сообщений, в Ideco ICS 5.1 был реализован модуль перехвата ICQ-переписки.

Перехватываются как входящие, так и исходящие сообщения. Кроме того, реализована возможность поиска по переписке.

Обзор возможностей Ideco ICS:

  • Персональный полноценный доступ в Интернет для каждого сотрудника. Авторизация по логину и паролю через VPN, PPPоE или через Ideco Agent, авторизация по IP адресу и по MAC адресу.
  • Возможность синхронизации и авторизации пользователей через Active Directory и LDAP сервер.
  • Фильтрация веб-контента по категориям непродуктивных сайтов
  • Контроль доступа к ресурсам Интернет, вся информация о действиях пользователя сохраняется.
  • Контроль доступа сетевых приложений на пользовательских компьютерах к сетевым ресурсам.
  • Возможность иерархической группировки пользователей идеально подходит к принятым структурным единицам: отделы, подразделения, офисы. Назначение ответственных лиц для управления этими группами.
  • Модуль формирования отчетов для Директора и IT-менеджера, позволяющий мгновенно оценивать степень использования Интернет-ресурсов сотрудниками.

Защита и безопасность, межсетевой экран(Firewall):

  • Защита компьютеров от атак из Интернет с использованием технологии NAT и встроенного Firewall.
  • Блокирование ip адресов и протоколов по заданным условиям.
  • Защита от сканеров сети, защита от DOS-атак и блокирование чрезмерной активности.
  • IDS/IPS Snort анализирует сетевой трафик. При появлении потенциальных угроз, предотвращает и уведомляет Администратора.
  • Антивирусная проверка почтового и Интернет-трафика с помощью технологий «Лаборатории Касперского».
  • Контроль утечек информации для служебного пользования.
  • Многоуровневая фильтрация нежелательной почты (спама).
  • Возможность ограничения трафика по типу, ключевым словам, протоколам и портам.
  • Блокирование рекламы. Запрет Интернет-пейджеров.
  • Разграничение доступа к корпоративным ресурсам, создание общих и закрытых серверов сети.
  • Защита от подстановки IP адреса, при авторизации через VPN и PPPoE каждому пользователю назначается личный IP-адрес.
  • Шейпер. Ограничение скорости Интернет-трафика для отдельных пользователей, компьютеров или протоколов.
  • DNAT portmapper. Возможность прозрачной переадресации адресов и портов на другой адрес. Например, для прозрачного прокси или для публикации внутреннего веб-сервера.
  • Фильтрация межсегментного локального трафика.
  • Планирование и ограничение расходов (лимитирование) по пользователям, отделам и предприятию в целом.
  • Подсчет статистики в реальном времени, автоматическое предупреждение и отключение пользователя при превышении лимита.
  • Статистика посещения ресурсов Интернет в Мб и денежном эквиваленте, статистика TOP 100.
  • При авторизации через VPN и PPPoE – защита от прослушивания трафика и подстановки IP-адреса.
  • Удобные отчёты для директора.

Удаленное подключение, виртуальные частные сети.

  • Доступ сотрудников к сети предприятия из дома или командировки по защищенному каналу. Поддержка запроса клиентских ssl сертификатов.
  • Возможность объединить все удаленные подразделения в общую сеть на единой платформе по шифрованным протоколам VPN, OpenVPN, PPTP, IPSec и CIPE.
  • Возможность создать закрытые корпоративные серверы для ограниченного круга сотрудников.

Интеллектуальный QoS. Интеллектуальная приоритезация трафика по скорости и типу, резервирование полосы пропускания для важных приложений, возможность расставлять приоритеты вручную. Равномерное распределение канала между пользователями и между приложениями.

DHCP-сервер — Автоматическое распределение IP адресов в локальной сети.Возможность фиксированной привязки IP к MAC адресу компьютера. Возможность выдавать DNS и WINS для DHCP клиентов. Встроенный WINS сервис делает удобной и быстрой работу с сетевым окружением в локальной сети. Возможность выдавать маршруты для DHCP клиентов. Возможность указания разных диапазонов на разных интерфейсах и VLAN.

Полноценный маршрутизатор, поддерживающий множество интерфейсов (как локальных, так и внешних). Возможность указать маршруты по источнику.

Подключение к провайдерам, резервирование каналов

  • Поддержка нескольких каналов провайдеров и нескольких внешних сетей.
  • Создание разных тарифных планов. Перенаправление трафика в разные подсети.
  • Возможность полного разделения пользователей для выхода в Интернет через разных провайдеров.
  • Автоматическая проверка связи с провайдером и переключение на альтернативного провайдера, в случае необходимости. Возможность указать резервный тарифный план.
  • Подключение к провайдеру по протоколам PPTP ( VPN ) и PPPoE.
  • Возможность балансировки трафика между каналами.

Интегрированные интернет службы

Почтовый сервер с антивирусом и фильтрацией спама. Ideco ICS включает сконфигурированный и настроенный почтовый сервер. Почтовый ящик создается автоматически при добавлении пользователя. Гибкие параметры мультидоставки и переадресации. Возможность отправки почты через Службу Безопасности с визуальной проверкой человеком.

  • Поддержка нескольких почтовых доменов, доверенные сети и домены.
  • Поддержка протокола IMAP, шифрованных протоколов POP3S, IMAPS и общих почтовых папок.
  • Удобный, полнофункциональный веб-интерфейс для работы с личной почтой, позволяет работать с почтой из любой точки мира по шифрованному каналу через обычный браузер.
  • Предварительный спам фильтр, отсекание без получения тела письма позволяет значительно экономить трафик.
  • Возможность переадресации, групповой рассылки, фильтрации по адресам и содержимому.
  • Установка размера почтового ящика и размер письма.
  • Возможность дублирования всей почты на один адрес, для контроля и архивирования корреспонденции.
  • Возможность загружать почту с других серверов по протоколу POP3 и IMAP.
  • Настраиваемый автоответчик.

Многосайтовый Internet веб-сервер. Ideco ICS включает в себя полноценный WEB-сервер. Сервер позволяет размещать внешний сайт организации или несколько различных сайтов. Поддерживается возможность создания динамических сайтов на PHP и Perl, а также поддержка БД MySQL. Готовые примеры CMS Joomla с шаблонами сайтов, форум phpbb. Встроенный сайт-шаблон dokuwiki.

FTP-сервер. Ideco ICS включает в себя полноценный FTP-сервер. На этом сервере можно хранить общие документы и прочие файлы. Доступ к серверу может осуществляться как снаружи, так и из локальной сети. Анонимный и авторизованный вход. Создание ftp пользователей. Закрытая и публичная часть. Защита от переполнения диска. Возможность ограничения скорости скачивания.

Файловый веб-архив: возможность выкладывания файлов для пользователей на локальном сайте. При помощи файлового веб-архива вы сможете выкладывать на локальный сайт Ideco ICS то программное обеспечение, которое рекомендуйте устанавливать пользователями в локальной сети. Это сократит время на поиск дистрибутивов и обеспечит всем пользователям одинаковые актуальные версии рекомендованного ПО. Помимо дистрибутивов, вы так же можете разместить ссылку на ресурс в Интернете, где можно скачать последнюю версию программы, а так же получить дополнительную информацию о ней.

Сервер точного времени. Ideco ICS включает в себя сервер точного времени, который может синхронизировать время через Интернет. Кроме того, есть возможность синхронизировать время компьютеров локальной сети с самим сервером.

DNS-сервер. Ideco ICS включает в себя кэширующий DNS сервер для локальной сети. Гибкие настройки кэширования позволяют экономить до 20% трафика. Есть возможность указывать соответствие между доменным именем компьютера и его сетевым адресом.

Корпоративный IM-сервер — все работники компании автоматически заносятся в контакт-лист корпоративного jabber-сервера. Jabber-сервер работает всегда и связь между сотрудниками не зависит от перебоев Интернет-канала со стороны провайдера, гейт на ICQ.

Надежность и безопасность.

  • Ideco ICS построен на базе ядра Linux с применением уникальных технологий. Поэтому имеет беспрецедентную надежность и защищенность, сравнимую с аппаратными маршрутизаторами.
  • Многоуровневая системы защиты сервера.
  • Надежность системы подтверждается фактами внедрения Ideco ICS крупными компаниями более 3 000 пользователей;
  • Встроенный модуль отказоустойчивости восстановит систему даже в случае сбоя.

Простота установки, настройки и сопровождения

  • Не требует изменения существующей сети предприятия – достаточно установки одного сервера.
  • Ideco ICS автоматически устанавливается на компьютер.
  • Мастер обнаружения ПК позволяет быстро настроить доступ всем пользователям, сразу после установки сервера.
  • Для работы Ideco ICS не требуется дополнительного программного обеспечения – все необходимые компоненты есть в дистрибутиве.
  • Не требует постоянного сопровождения – эксплуатационные расходы близки к нулю
  • Удобный и понятный русскоязычный веб-интерфейс администратора позволяет управлять всеми задачами из любой точки сети. Управление некоторыми параметрами системы возможно не только сетевым администратором, но и простым пользователем.
  • Веб-интерфейс пользователя: просмотр статистики, баланса, смена пароля и другой информации.
  • Встроенный DHCP сервер максимально упрощает развертывание на малых предприятиях.
  • Не требует установки нестандартного ПО на компьютеры пользователей, может использоваться в виртуальных средах.
  • Прозрачность для всех сетевых протоколов: HTTP, SMTP, POP3, FTP и других.
  • Учитывая экономию расходов, низкие эксплуатационные издержки и высвобождение времени специалистов – Ideco ICS окупается за несколько месяцев.
  • Сервис автоматического обновления минимизирует временные затраты на сопровождение системы.
  • Удобная схема лицензирования. Имеются версии для малых предприятий: 10-20 пользователей; средних: 50-200; и крупных компаний: 500 и более

Знакомство с Ideco ICS

В вопросах управления локальными сетями есть давний дуализм: решения на Windows против систем на базе Linux. Основным аргументом в пользу первых была и остается простота установки, однако сегодняшний рынок предлагает надежные Linux-решения — не менее удобные. В частности, это относится к российскому комплексу для построения сетевой инфраструктуры Ideco ICS (рис. 1).

Познакомимся с Ideco ICS на примере. Модельная задача — создать сеть для компании-дистрибьютора, специализирующейся на поставках кондитерской продукции. Компания крупная, штат — 50 человек (17 менеджеров по продажам, пять по группам товаров, начальник отдела продаж, шесть сотрудников поддержки Интернет-магазина, три экспедитора, логист, 10 работников склада, три бухгалтера, секретарь, коммерческий директор, заместитель генерального директора и сам генеральный директор). Структура сети: два базовых сервера (бухгалтерский «1С» и шлюз общего назначения), 45 стационарных компьютеров, пять ноутбуков.

Работа модельной компании напрямую связана с доступом в Интернет: менеджеры получают заказы через сайт либо по электронной почте, бухгалтерия оформляет и рассылает документы, поддержка обслуживает заказы и консультирует пользователей онлайн. У сотрудников отдела доставки нет компьютеризированных рабочих мест, они пользуются общими машинами, установленными на складе.

Ключевым свойством серверного продукта должна быть безопасность соединения. Защита трафика антивирусными средствами, защита от внешних атак (в том числе DDoS), предотвращение утечек служебной информации и безопасный дистанционный доступ в локальную сеть. Совместная работа сотрудников требует общего файлового хранилища с возможностью дистанционного доступа. Помимо контроля трафика, сервер должен организовать работу корпоративной почты с возможностью антивирусной фильтрации и технологиями антиспама.

Установка шлюза и начало работы

Полная установка Интернет-шлюза Ideco ICS — от начала и до выхода в сеть всех сотрудников фирмы — примерно 15 мин. За это время будут развернуты все компоненты сетевой инфраструктуры: шлюз, почтовый сервер, антивирус, контентный и DLP-фильтры и т.?п. После автоматической установки сотрудники компании получат профили, настроенные по умолчанию, и смогут выйти в Интернет со своих рабочих мест. В это время администратор сети может заняться тонкой настройкой политик доступа и индивидуальных правил и исключений.

Читать еще:  Gran Turismo 6 — последняя для PS3

Кнут и пряник: групповые и индивидуальные политики

Несмотря на то, что компания пользуется безлимитным тарифом на Интернет, доступ сотрудников в Сеть должен быть ограничен. Сотрудникам разрешается посещать социальные сети и развлекательные сайты только в нерабочее время и обеденный перерыв. С любых устройств, принадлежащих руководству, доступ ко всем сайтам остается неограниченным. Объединим сотрудников фирмы в группы по уровню доступа:

  • менеджеры,
  • бухгалтерия,
  • сотрудники Интернет-магазина,
  • склад,
  • руководство.

Каждое правило или исключение может действовать как на сотрудника, так на группу. Например, запрет на доступ к социальным сетям в рабочее время распространяется на все учетные записи. Для группы «Руководство» достаточно задать исключение либо не применять правило.

У работников склада возможность доступа в Интернет появляется только во время перерывов в работе, типы трафика на их компьютерах не ограничены. В то же время этот трафик не должен мешать остальным, поэтому для склада применяется шейпинг трафика по скорости (ограничение скорости всех типов трафика). Каждый сотрудник авторизуется на общих компьютерах под своей учетной записью, в связи с чем учет трафика ведется по сотрудникам, а не по рабочим машинам.

Компьютер логиста включен в общую сеть, но на нем закрыт доступ в Интернет по всем сетевым протоколам. Используется только внутренний Jabber-сервер Ideco ICS, для чего подключения к Интернету не требуется.

Группе менеджеров, которым в работе необходимы лишь два десятка Интернет-ресурсов (они известны), проще всего указать адреса в «белом списке», заблокировав все остальное. При этом почта и мессенджеры работать, разумеется, будут. Для менеджеров товарных групп открыты большинство категорий сайтов, контентный фильтр блокирует только заведомо лишние категории, вроде развлекательных или автомобильных ресурсов. Сотрудникам бухгалтерии достаточно доступа к корпоративной почте (через почтовый клиент) и сервису ICQ, весь трафик по Web-протоколам лучше запретить. Важные документы (отчеты, планы, финансовую отчетность) можно защитить от случайных утечек информации с помощью модуля DLP (Data Leak Prevention), который будет сканировать исходящий трафик и при обнаружении попытки пересылки внутренних документов заблокирует соединение.

У сотрудников Интернет-магазина и секретаря неограниченный доступ в Интернет. Протоколы и журналы посещений и учет по типам трафика позволяют понять, с рабочими целями используется Интернет-канал или нет (рис. 2). Кроме того, для определенных типов трафика (например, видеофайлов) можно задать ограничение скорости передачи, чтобы просмотр видео не забивал канал. При подключении к двум и более провайдерам трафик можно развести по разным каналам, в зависимости от типа или загрузки основного.

Руководство компании имеет полную свободу серфинга по Интернету. Кроме стационарных рабочих станций, доступ в Сеть осуществляется с личных ноутбуков и мобильных устройств директоров компании. Для их удобства установлен беспроводной маршрутизатор, трафик с которого также пойдет через Ideco ICS.

Ideco ICS: эксплуатационные характеристики

Интернет-шлюзы на Linux известны надежностью и безопасностью — довольно сказать, что продукты этого семейства неоднократно становились лауреатами наград PC Magazine/RE. Базовые технологии ядра Linux, воплощенные в Ideco ICS, дополнены собственными разработками. Встроенный антивирус ClamAV сканирует весь почтовый и Web-трафик. Шлюз может поставляться и с коммерческими антивирусами «Лаборатории Касперского» или Dr.Web. Доступ в корпоративную сеть можно осуществлять из любой точки планеты по защищенному каналу. Это не только возможность для администратора управлять шлюзом дистанционно, но и объединение филиалов и мобильных сотрудников в одну сеть.

Все под контролем, шеф!

Администратор, установивший Ideco ICS в своей сети, всегда в курсе, кто, когда и как использует корпоративный Интернет-канал. Предусматриваются развитые возможности формирования отчетов по учетным записям: по сайтам и типам трафика (рис. 3). Использующийся для всех служб механизм chroot не позволит хакерам захватить контроль над сервером даже в случае обнаружения уязвимости. Политика использования Интернета в компании может содержать бесконечное количество правил и исключений — Ideco ICS реализует их все. Даже в случае физического уничтожения сервера или одного из его жизненно важных компонентов развертывание системы из резервной копии на новом оборудовании займет менее 30 мин.

Знакомство с Ideco ICS

Надеемся, что Вы указали достаточно контактной информации, и наши сотрудники смогут связаться с Вами в ближайшее время.

Согласие на обработку персональных данных

Пользователь, регистрируясь на сайте, дает свое согласие ООО «Айдеко», расположенному по адресу 620144, г. Екатеринбург, ул. Кулибина 2, оф.500, на обработку своих персональных данных со следующими условиями:

  1. Согласие дается на обработку своих персональных данных с использованием средств автоматизации.
  2. Согласие дается на обработку следующих персональных данных:
    1. Номера контактных телефонов;
    2. Адрес электронной почты;
    3. Место работы и/или занимаемая должность;
    4. Город пребывания или регистрации.
  3. Целью обработки персональных данных является: предоставление доступа к материалам сайта http://ideco.ru, доступа к сервису on-line вебинаров или подготовки документов для согласования вариантов развития договорных отношений, включая коммерческие предложения, спецификации, проекты договоров или платежных документов.
  4. В ходе обработки с персональными данными будут совершены следующие действия: сбор, систематизация, накопление, хранение, уточнение, использование, блокирование, уничтожение.
  5. Основанием для обработки персональных данных является ст. 24 Конституции Российской Федерации; ст.6 Федерального закона №152-ФЗ «О персональных данных»; Устав ООО «Айдеко», иные федеральные законы и нормативно-правовые акты.
  6. Передача персональных данных может осуществляться третьим лицам только в порядке, установленном законодательством Российской Федерации или при получении дополнительного согласия Пользователя.
  7. Данное согласие действует до момента реорганизации или ликвидации ООО «Айдеко». Также Согласие может быть отозвано Пользователем, путем направления письменного заявления на почтовый адрес ООО «Айдеко».
  8. Хранение персональных данных осуществляется согласно Приказу Министерства культуры РФ от 25.08.2010 №558 об утверждении «Перечня типовых управленческих документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения» и иным нормативно-правовым актам в области архивного дела и архивного хранения.

Лицензионное Соглашение

о предоставлении прав на тестовое использование Программного Комплекса «Интернет-Шлюз Ideco ICS 6»

Лицензия ООО «Айдеко» на право использования программы для ЭВМ «Программный комплекс «Интернет-шлюз Ideco ICS 6» (далее – «Программа»):

  1. Настоящая лицензия на право использования Программы (далее — «Лицензия») предоставляется лицу – конечному пользователю (далее — «Лицензиат») Лицензиаром — ООО «Айдеко» и содержит информацию об ограничении прав на тестовое использование Программы, включая любые ее компоненты.
  2. Если Вы не согласны с условиями Лицензии, Вы не имеете права устанавливать, копировать или иным способом использовать данную Программу и любые ее компоненты, и должны их удалить.
  3. Лицензиар предоставляет Лицензиату неисключительное право, которое включает использование Программы и ее компонентов следующими способами: право на воспроизведение, ограниченное правом инсталляции запуска, в объемах использования, предусмотренными настоящей Лицензией. Право на использование Программы и ее компонентов предоставляется исключительно с целью ознакомления и тестирования сроком на 1 (один) месяц с даты, указанной в настоящей лицензии.
  4. Программа поставляется как есть, Лицензиар устранил все известные ему ошибки, остается вероятность выявления ошибок при дальнейшей эксплуатации.
  5. Лицензиату известны важнейшие функциональные свойства Программы, в отношении которых предоставляются права на использование, и Лицензиат несет риск соответствия Программы его ожиданиям и потребностям, а также риск соответствия условий и объема предоставляемых прав своим ожиданиям и потребностям.
  6. Лицензиар не несет ответственность за какие-либо убытки, ущерб, независимо от причин его возникновения, (включая, но не ограничиваясь этим, особый, случайный или косвенный ущерб, убытки, связанные с недополученной прибылью, прерыванием коммерческой или производственной деятельности, утратой деловой информации, небрежностью, или какие-либо иные убытки), возникшие вследствие использования или невозможности использования Программы и любых ее компонентов.
  7. Лицензиат может устанавливать и использовать одну копию Программы на одном компьютере или сервере.
  8. Программа включает технологии защиты от копирования, чтобы предотвратить ее неправомочное копирование. Запрещено незаконное копирование Программы и любых ее компонентов, удаление или изменение защиты от копирования.
  9. Лицензиат не может модифицировать и декомпилировать Программу и любые ее компоненты, изменять структуру программных кодов, функции программы, с целью создания родственных продуктов, распространять или содействовать распространению нелицензионных копий Программы и любых ее компонентов.
  10. Не допускается аренда и передача Программы и любых ее компонентов третьими лицам, а также распространение Программы и любых ее компонентов в сети Интернет.
  11. По истечению тестового периода использования Программы Лицензиат обязан деинсталлировать Программу и все ее компоненты (удалить из памяти ЭВМ), удалить все сделанные копии Программы и ее компонентов, и уведомить об этом Лицензиара, либо приобрести право на использование Программы.

В связи с техническими работами на сайте данные в прайс-листах могут быть неактуальными.
За актуальными прайс-листами просьба обращаться к курирующим менеджерам.

Интернет-шлюз Ideco ICS (Ideco Internet Control Server) — это программное решение, которое позволяет сделать доступ в интернет абсолютно управляемым, безопасным и надежным.

Защита локальной сети от внешних угроз, приоритезация интернет-трафика и его ограничение, мощный контент-фильтр, встроенный почтовый сервер с полноценным веб-интерфейсом и система резервного копирования — вот далеко не полный список возможностей и сервисов Ideco ICS.

Интернет-шлюз Ideco ICS создан на базе операционной системы Linux и объединяет в себе более 30 компонентов и служб, которые позволяют быстро и комфортно решать практически любые задачи управления трафиком: от маршрутизации до шифрования и балансировки нагрузки.

С помощью Ideco ICS большая часть рутинных процессов сетевого администрирования выполняется гораздо быстрее, а общий уровень защищенности, управляемости и прозрачности сетевой инфраструктуры возрастает во много раз.

Управление всеми процессами и компонентами решения осуществляется через удобный и интуитивно понятный веб-интерфейс.

Возможности Ideco ICS

  • Комплексное управление интернет-трафиком: планирование, ограничение, приоритезация.
  • Защита пользователей и корпоративной сети от внешних угроз: контентная фильтрация веб-трафика (включая HTTPS-трафик), антивирус и антиспам Касперского, модуль DLP, системный и пользовательский брандмауэр.
  • Средства коммуникации и почта: почтовый сервер, многоуровневая фильтрация спама, защита от вирусов.
  • Построение корпоративной сети: удаленное подключение, организация защищенных каналов между филиалами (поддержка VPN с использованием PPTP, OpenVPN либо IPsec, позволяют соединить в сеть практически любые маршрутизаторы или программные шлюзы), использование нескольких подключений к провайдерам, маршрутизация, интеграция с Active Directory;
  • и многое другое!

Преимущества Ideco ICS

Интернет-шлюз Ideco ICS построен на ядре Linux.

  • Это решение традиционно применяется в наиболее критичных системах, требующих максимального уровня надежности и производительности.
  • Встроенные средства безопасности обеспечивают эффективную защиту от широкого спектра интернет-угроз.
  • С Ideco ICS сеть защищена от вирусов, спама, хакерских атак, утечек информации и несанкционированного доступа.

Мощный контент-фильтр.

  • Стандартный контент-фильтр с 18 категориями сайтов, включающих сотни тысяч url.
  • Расширенный контент-фильтр — 141 категория, более 500 млн. url, работает в режиме реального времени по облачной технологии, позволяющей всегда использовать актуальную базу для фильтрации и защиты пользователей от нежелательных ресурсов (в том числе фишинговых и зараженных сайтов).
  • В Ideco ICS реализованы инструменты, позволяющие максимально точно отразить организационную структуру предприятия. Возможность создания групп и подгрупп, для каждой из которых может быть назначен отдельный администратор. Группы пользователей можно импортировать и синхронизировать с доменом Active Directory

Ideco ICS — первое российское решение со встроенным модулем защиты от случайной утечки конфиденциальных данных. Встроенный в Ideco ICS модуль DLP сканирует исходящий трафик и блокирует передачу защищенных документов через электронную почту и веб-протоколы, распознавая документы при помощи технологии цифровых отпечатков.

  • Автоматическая установка и простота администрирования. Решение не требует постоянного сопровождения, что обеспечивает прогнозируемость эксплуатационных расходов.
  • Ideco ICS — это не только интернет-шлюз, это единая система для решения многих задач. В состав Ideco ICS входят почтовый сервер с web-интерфейсом, web-сервер и ftp-сервер. Все службы управляются из единого графического интерфейса. Предприятие получает все необходимое в одном решении.
  • Исключительная надежность системы подтверждается длительным применением Ideco ICS крупными компаниями (более 3 000 пользователей).
Читать еще:  Borderlands 3 выйдет в Steam 13 марта

Обзор возможностей

Контроль доступа:

  • Персональный полноценный доступ в Интернет для каждого сотрудника. Авторизация по логину и паролю через VPN, PPPоE, через Ideco Agent, или логин-пароль через веб-браузер, авторизация по IP адресу (с возможностью привязки MAC-адреса).
  • Возможность синхронизации и авторизации пользователей через Active Directory и LDAP сервер.
  • Фильтрация веб-контента по категориям непродуктивных сайтов (в том числе фильтрация HTTPS-трафика).
  • Контроль доступа к ресурсам Интернет, вся информация о действиях пользователя сохраняется.
  • Возможность иерархической группировки пользователей. Идеально подходит к принятым структурным единицам: отделы, подразделения, офисы. Назначение ответственных лиц для управления этими группами.
  • Модуль формирования отчетов для Директора и IT-менеджера, позволяющий мгновенно оценивать степень использования Интернет-ресурсов сотрудниками.

Защита и безопасность, межсетевой экран (Firewall):

  • Защита компьютеров от атак из Интернет с использованием технологии NAT и встроенного Firewall.
  • Блокирование ip адресов и протоколов по заданным условиям.
  • Защита от сканеров сети, защита от DoS-атак и блокирование чрезмерной активности.
  • Антивирусная проверка почтового и Интернет-трафика с помощью технологий «Лаборатории Касперского» и антивируса ClamAV.
  • Контроль утечек информации для служебного пользования (встроенный DLP-модуль).
  • Многоуровневая фильтрация нежелательной почты (спама).
  • Возможность ограничения трафика по типу, ключевым словам, протоколам и портам.
  • Блокирование рекламы, зараженных и фишинговых сайтов.
  • Запрет Интернет-пейджеров.
  • Разграничение доступа к корпоративным ресурсам, создание общих и закрытых серверов сети.
  • Защита от подстановки IP адреса, при авторизации через VPN и PPPoE каждому пользователю назначается личный IP-адрес.
  • Шейпер. Ограничение скорости Интернет-трафика для отдельных пользователей, групп, компьютеров или протоколов.
  • DNAT portmapper. Возможность прозрачной переадресации адресов и портов на другой адрес. Например, для прозрачного прокси или для публикации внутреннего веб-сервера.
  • Фильтрация межсегментного локального трафика.

Ограничение трафика:

  • Планирование и ограничение расходов (лимитирование) по пользователям, отделам и предприятию в целом.
  • Подсчет статистики в реальном времени, автоматическое предупреждение и отключение пользователя при превышении лимита.
  • Статистика посещения ресурсов Интернет в Мб и денежном эквиваленте, статистика TOP 100.
  • При авторизации через VPN и PPPoE — защита от прослушивания трафика и подстановки IP-адреса.
  • Удобные отчеты в графическом виде.
  • Стандартный контент-фильтр с 18 категориями сайтов, включающих сотни тысяч url. Автоматически обновляется через интернет.
  • Расширенный контент-фильтр — 141 категория трафика. Более 500 млн. url, работает в режиме реального времени по облачной технологии. База данных обновляется круглосуточно.

Удаленное подключение, виртуальные частные сети VPN:

  • Доступ сотрудников к сети предприятия из дома или командировки по защищенному каналу (PPTP, IPsec). В том числе с использованием мобильных устройств на базе ОС Android и iOS.
  • Возможность объединить все удаленные подразделения в общую сеть на единой платформе по шифрованным протоколам VPN PPTP, OpenVPN или IPsec.
  • Возможность создать закрытые корпоративные серверы для ограниченного круга сотрудников.

Интеллектуальный QoS:

Интеллектуальная приоритезация трафика по скорости и типу, резервирование полосы пропускания для важных приложений, возможность расставлять приоритеты вручную. Равномерное распределение канала между пользователями и между приложениями.

  • DHCP-сервер. Автоматическое распределение IP адресов в локальной сети.
  • Возможность фиксированной привязки IP к MAC адресу компьютера. Возможность выдавать DNS и WINS для DHCP клиентов. Встроенный WINS сервис делает удобной и быстрой работу с сетевым окружением в локальной сети. Возможность выдавать маршруты для DHCP клиентов. Возможность указания разных диапазонов на разных интерфейсах и VLAN.
  • Полноценный маршрутизатор, поддерживающий множество интерфейсов (как локальных, так и внешних). Поддерживаются виртуальные 802.1q VLAN интерфейсы, PPTP, L2TP, PPPoE и OpenVPN интерфейсы. Возможность указать маршруты по источнику.

Подключение к провайдерам, резервирование каналов

  • Поддержка нескольких каналов провайдеров и нескольких внешних сетей.
  • Создание разных тарифных планов. Перенаправление трафика в разные подсети.
  • Возможность полного разделения пользователей для выхода в Интернет через разных провайдеров.
  • Автоматическая проверка связи с провайдером и переключение на альтернативного провайдера, в случае необходимости.
  • Подключение к провайдеру по протоколам PPTP ( VPN ), L2TP и PPPoE.
  • Балансировка трафика между каналами.

Интегрированные интернет службы

  • Поддержка нескольких почтовых доменов, доверенные сети и домены.
  • Поддержка протокола IMAP, шифрованных протоколов POP3S, IMAPS и общих почтовых папок.
  • Удобный, полнофункциональный веб-интерфейс для работы с личной почтой, позволяет работать с почтой из любой точки мира по шифрованному каналу через обычный браузер.
  • Предварительный спам фильтр, отсекание без получения тела письма позволяет значительно экономить трафик.
  • Возможность переадресации, групповой рассылки, фильтрации по адресам и содержимому.
  • Установка размера почтового ящика и размер письма.
  • Возможность дублирования всей почты на один адрес, для контроля и архивирования корреспонденции.
  • Возможность загружать почту с других серверов по протоколу POP3, POP3S и IMAP.
  • Настраиваемый автоответчик.

Многосайтовый Internet веб-сервер:

  • Ideco ICS включает в себя полноценный WEB-сервер. Сервер позволяет размещать внешний сайт организации или несколько различных сайтов.
  • Поддерживается возможность создания динамических сайтов на PHP и Perl, а также поддержка БД MySQL.
  • FTP-сервер. Ideco ICS включает в себя полноценный FTP-сервер. На этом сервере можно хранить общие документы и прочие файлы. Доступ к серверу может осуществляться как снаружи, так и из локальной сети.
  • Анонимный и авторизованный вход. Создание ftp пользователей. Закрытая и публичная часть. Защита от переполнения диска. Возможность ограничения скорости скачивания.
  • Сервер точного времени. Ideco ICS включает в себя сервер точного времени, который может синхронизировать время через Интернет. Кроме того, есть возможность синхронизировать время компьютеров локальной сети с самим сервером.
  • DNS-сервер. Ideco ICS включает в себя кэширующий DNS сервер для локальной сети, с возможностью поддержки им dns-зон для неограниченного числа доменов.

Преимущества

  • Надежность и безопасность.
  • Ideco ICS построен на базе ядра Linux с применением уникальных технологий. Поэтому он обладает беспрецедентной надежностью и защищенностью, сравнимую с аппаратными маршрутизаторами.
  • Многоуровневая системы защиты сервера.
  • Надежность системы подтверждается фактами внедрения Ideco ICS крупными компаниями с более чем 3 000 пользователей;
  • Встроенный модуль отказоустойчивости восстановит систему даже в случае аппаратного сбоя.

Простота установки, настройки и сопровождения

  • Не требует изменения существующей сети предприятия — достаточно установки одного сервера.
  • Мастер обнаружения ПК позволяет быстро настроить доступ всем пользователям, сразу после установки сервера.
  • Для работы Ideco ICS не требуется дополнительного программного обеспечения — все необходимые компоненты есть в дистрибутиве.
  • Не требует постоянного сопровождения — эксплуатационные расходы близки к нулю
  • Удобный и понятный русскоязычный веб-интерфейс администратора позволяет управлять всеми задачами из любой точки сети. Управление некоторыми параметрами системы возможно не только сетевым администратором, но и простым пользователем.
  • Веб-интерфейс пользователя: просмотр статистики, баланса, смена пароля и другая информация.
  • Встроенный DHCP сервер максимально упрощает развертывание на малых предприятиях.
  • Не требует установки нестандартного ПО на компьютеры пользователей, может использоваться в виртуальных средах.
  • Прозрачность для всех сетевых протоколов: HTTP, SMTP, POP3, FTP и других.

Экономический эффект

  • Учитывая экономию расходов, низкие эксплуатационные издержки и высвобождение времени специалистов — Ideco ICS окупается за несколько месяцев.
  • Сервис автоматического обновления минимизирует временные затраты на сопровождение системы.
  • Удобная схема лицензирования. Имеются версии для малых предприятий: 10-20 пользователей; средних: 50-200; и крупных компаний: 500 и более пользователей.

Варианты использования

  • Ideco ICS позволяет легко организовать и управлять доступом в Интернет всех сотрудников предприятия. Система позволяет вести статистику трафика и посещений Интернет-ресурсов, блокировать нежелательный трафик и ресурсы. Использование технологии NAT и встроенного Firewall позволяет защитить компьютеры пользователей от атак из Интернет.
  • Группировка пользователей и возможность независимого управления группами идеально подходит для крупных организаций.
  • Возможность иерархической группировки пользователей подходит к принятым структурным единицам: рабочие отделы, цеха, офисы т.п. Назначение ответственных лиц, позволяет организовать независимое управление этими группами.
  • Создание финансово независимых групп позволяет подключать одновременно несколько организаций через одну точку доступа в Интернет.

Знакомство с Ideco ICS

обзор Ideco ICS

Для любого предприятия, где есть выход в Интернет, вопросы защиты пользователей и сети, контроля и управления доступом в Интернет, а также учета трафика, планирования и ограничения расходов всегда будут актуальны. Чтобы решить эти вопросы необходимо иметь в штате опытных специалистов, которые смогут вникнуть во все тонкости установки и настройки Linux, Windows Server. Необходимость постоянного сопровождения также важна. Но намного проще и экономичнее использовать готовые специализированные решения, не требующие постоянного обслуживания. Подобные решения совмещают впечатляющую функциональность и надежность с простой в управлении. Достойным примером служит ставший уже популярным Интернет-шлюз Ideco ICS производства компании «Айдеко Софтвер». Рассмотрим, что он собой представляет.

Ideco ICS — это программно-аппаратное решение на основе операционной системы Linux. Автоматически устанавливается с загрузочного CD-диска на отдельный, специально выделенный для этого компьютер. Ideco ICS может также поставляться в виде готового сервера (железо + софт).

Установка проходит достаточно быстро. После установки необходимо выполнить первичные настройки, настроить сетевые параметры, такие как IP-адрес сервера, маску подсети, название сервера, VPN, DNS. Также можно провести дополнительные настройки, например, включить автоматическое резервирование БД сервера, поменять пароль, отключить пользовательский Firewall, Midnight Commander. Все. Система настроена. Можно приступать к работе.

Управление сервером происходит с помощью Ideco ICS Manager (рис. 1).

Ideco ICS Manager позволяет добавлять пользователей, разграничивать трафик между пользователями, настраивать почтовый сервер и многое другое. Но об этом чуть позже, а теперь узнаем, как же все это работает.

как же все это работает?

Сервер работает по следующему принципу: одним сетевым интерфейсом он подключен к Интернет, а вторым — к сети предприятия. Именно поэтому для правильной работы сервера нам необходимы 2 сетевые карты. Пользователи из локальной сети предприятия сначала подключаются к серверу, а сервер, используя NAT, перезаписывает заголовок пакета, и уже используя реальный IP-адрес, выполняет запрос к необходимому узлу Интернет. При этом пользователь не чувствует разницы при подключении к Интернет, все происходит «на лету».

Рис. 2. Настройка сетевых параметров.

NAT работает по простому принципу: в модуль NAT встроена таблица, которая ведет запись о каждом соединении. В ней содержатся IP-адреса и номера портов источников и приемников пакетов информации. С помощью этой таблицы NAT преобразовывает адреса.

Сеть внутри предприятия основана на технологии VPN (Virtual Private Network). VPN предоставляет возможность надежной авторизации, на основании которой определяются полномочия пользователя (или удаленной сети). Также возможны другие способы авторизации пользователей.

При необходимости определенным пользователям (серверам) внутри сети может быть присвоен и реальный IP-адрес и пакеты от них будут передаваться в мир без участия в этом NAT. Если и этот вариант вас не устраивает, можно обратиться за помощью к DNAT, который подменяет у необходимых пакетов адреса назначения и передает на требуемое устройство, хост или сеть.

Не стоит забывать, что любому пользователю, находящемуся вне здания (не важно, где он будет расположен — в Москве, Минске или еще где-нибудь), мы можем разрешить доступ из Интернет к локальной сети предприятия при помощи VPN-канала.

что же там внутри?

Узнав, как происходит «общение» между пользователем и сервером, посмотрим, что же у сервера внутри.

А внутри как в библиотеке: открываем ящик с надписью «Ядро». Ядро вроде от Red Hat Linux 9.0, но, судя по всему, оно было подвергнуто хирургическому вмешательству, и разработчики его явно изменили. Ядро версии 2.4.24 i686 SMP, что означает поддержку примитивной
мультипроцессорности. Разработчики написали свой собственный демон, который отвечает за подключение и отключение пользователей, управляет правилами iptables, синхронизацией баз данных, и веб-интерфейс, где пользователь может узнать, сколько у него осталось трафика. Также присутствует интерфейс для принятия команд управления от клиентской части Ideco ICS Manager.

Читать еще:  MWC 2018: самые важные анонсы с выставки

После установки Ideco Internet Control Server мы имеем 3 раздела на жестком диске.

На первом разделе находится сам сервер, это самый главный раздел, права доступа на изменение доступны только root, но из-за параметра монтирования nochroot пользователем root нельзя стать, это сделано для достижения максимальной безопасности. Файлы в этом разделе изменять нельзя.

Рассмотрим теперь второй раздел. Он не так богат, как первый, на нем, в основном, содержатся файлы статистики и конфигурации. Но запускать какие- либо файлы тут нельзя, опять же из соображений безопасности.

Третий раздел предназначен для хранения резервных копий.

Администратор работает не от root, а только в chroot-окружении. Разработчики доработали ядро Linux, пересобрали его, наложив на него патчи безопасности. Помимо общих патчей, они написали еще и свои, благодаря чему уровень безопасности стал еще выше. Что не может не радовать. Рассмотрим некоторые параметры безопасности, которые применяются в этой системе.

Noexec — невозможность запуска программного кода монтируемых разделов. При таких жестких ограничениях просто использовать переполнение буфера не удастся, переполнение может быть только частью комплексной атаки.

Nochroot – запрет пользователю root делать chroot на корневой каталог, то есть запрет выхода из chroot-окружения.

Noaddmount – запрет монтирования новых разделов.

Nosuid – на разделе, подключенном с такой опцией, биты suid и sgid игнорируются.

Nodev – запрет задания файлов устройств на разделе и запрет монтирования devfs.

Capmask – дополнительная маска. После установки маски все вновь создаваемые процессы не смогут иметь возможностей больше, чем установлено этой маской.

В системе используется монолитное ядро — классическая и на сегодняшний день наиболее распространенная архитектура ядер операционных систем. Монолитные ядра предоставляют богатый набор абстракций оборудования. Все части монолитного ядра работают в одном адресном пространстве. Главным недостатком можно считать то, что сбой в одном из компонентов может нарушить работоспособность всей системы.

Разработчики также предусмотрели защиту и от rootkit’тов. По их словам, если у процесса много прав, то система будет считать, что это rootkit и такой процесс будет непременно уничтожен прямо в самом ядре.

После установки системы все правила системного Firewall по умолчанию настроены на максимальную защиту — работа по принципу «все, что не разрешено – запрещается». При этом через пользовательский Firewall нельзя создать правила, уменьшающие безопасность, там задаются только ограничения для пользователей.

В состав Ideco Control Server включен Content-фильтр, с помощью которого можно запретить скачивать те или иные типы файлов, например, mp3 и avi; блокировать рекламу и любые протоколы прикладного уровня по ключевым словам. Можно также ограничить ширину канала для определенных пользователей или протокола.

В Ideco Control Server произведены изменения в подсистеме запуска служб, что, в свою очередь, повысило уровень безопасности системы в целом. Благодаря таким изменениям, вероятность внедрения программ, эксплуатирующих уязвимость (exploit) снижается, так как выполнение действий, не предусмотренных системой, будет просто блокироваться.

Настройка прав и возможностей отдельных служб редко используется в стандартных дистрибутивах. А ведь благодаря этому можно гибко ограничивать возможности всех процессов, что особенно важно для приложений, работающих от пользователя root.

На примере Ideco Control Server мы можем увидеть технологию поддерева chroot, принцип действия которой основывается на ограничении сферы действия сервера некоторым участком файловой системы компьютера. Если сервер выполняется в пределах такого поддерева, то важные системные файлы будут недоступны для взломщика, даже если он сможет воспользоваться какой-то уязвимостью.

Обработка всех команд осуществляется через execd (демон, следящий за выполнением приложений). Так как root’овские права мы получить не можем, все задачи, такие, как перезагрузка, отправка уведомлений, создание резервных копий — становятся в очередь POSIX-сообщений (POSIX – это набор стандартов, призванных обеспечить как переносимость самих систем на различные архитектуры, так и работу написанных в соответствие со стандартами приложений в различных ОС). Далее все команды проходят через execd, который выполняет все задачи последовательно.

В сервер встроена возможность периодического резервного копирования БД и конфигурационного файла на CD-диск.

Для повышения надежности и отказоустойчивости системы используется Watchdog (что в дословном переводе означает «сторожевой пес»), в обязанности которого входит перезапуск подвисших процессов, и, в крайнем случае, выполнение мягкой перезагрузки. При этом все фиксируется в соответствующих лог-файлах. Благодаря «сторожевому псу» нет необходимости постоянно следить за сервером. Watchdog также будет уведомлять о нехватке свободного места на диске. В случае любой критической ситуации он переводит систему в Safe Mode (безопасный режим). Почему именно система оказалась в безопасном режиме можно также узнать из логов.

При загрузке системы запускается служба журналирования, проводится проверка состояния файловой системы, а также выполняетс самотестирование системы в целом и диагностика целостности БД сервера. Раздел с исполняемыми файлами монтируется в режим read only (ro), после загрузки всем исполняемым файлам устанавливается флаг immutable (невозможность внесения изменений или удаления файла), изменить который может только root, но, к сожалению, мы им стать не сможем никогда (см. выше).

Из других возможностей, включенных разработчиками в состав Ideco ICS, следует отметить систему управления баз данных FireBird, почтовый сервер PostFix, интеллектуальный QoS и FTP-сервер. В общем, полный набор самых необходимых средств для работы офисного сервера.

В Ideco ICS повышен контроль за действиями системных служб (сервисов), добавлены инструкции безопасности (noproc, nosuid, noexec), управление и работа с сервером сведены до полного минимума, навигация по системе управления простая и удобная благодаря графическому интерфейсу. В целом система выглядит стабильной и безопасной. За время работы не было выявлено каких-либо сбоев, что также является важным моментом. Возможно, для предприятия Ideco ICS будет выглядеть как велосипед, в котором есть все необходимое для движения 🙂

Рис. 3. Веб-интерфейс для пользователей.

Знакомство с Ideco ICS

Начнем с того, что рассмотрим состав поставки.

1. Верифицированный инсталляционный комплект. Состоит из двух дисков на одном документация, второй установочный.
2. Абонемент для доступа к Центру сертифицированных обновлений. В нем указывается логин для доступа к ресурсу, номера и остальная муть.
3. Формуляр на изделие. Типа паспорта к телевизору в старое доброе советское время.
4. Специальный защитный знак Системы сертификации средств защиты информации. В виде переливающейся наклейки 12х12 мм, вклеен в формуляр.
5. Копия сертификата соответствия.
6. Руководство по получению обновлений через интернет.
7. USB-ключ eToken. В хранилище eToken’а уже сидит пользовательский сертификат. Нужен для доступа к ресурсу с обновлениями.
8. Ну и собственно сама лицензия на право использовать ПО.

В руках имеем все что заказывали, приступим к установке. Вставляем диск, идем в биос, ставим все как положено, жмем F10, «yes». На мониторе появляются надписи на английском, предлагающие выбрать (точнее будет сказать — написать, так как выбор не предусмотрен, приходится писать самому) «setup» или «memtest». Пишем конечно же «setup», enter и понеслось. Встало все как надо, без привлечения бубнов. Сам процесс описывать не имеет смысла, так как он прост и интуетивно понятен.

Перезагружаем, вводим предустановленный пароль «servicemode», начинаем настраивать.

Локальный интерфейс IP 192.168.0.1 mask 255.255.255.0
Внешний интерфейс IP 192.168.1.2 mask 255.255.255.0 GW 192.168.1.1

В качестве GW стоит роутер, подключенный к провайдеру. Наличие роутера в сети не обсуждается в данной статье, так как не имеет принципиального значения.

Минимум сделан, начинаем проверку. Подключаем клиента к switch, Win+R, cmd, ping 192.168.0.1. Пинг пошел, замечательно. На Ideco вводим пароль, в открывшемся интерфейсе выбираем Сервис->MC->Ctrl+O->ping 192.168.1.1, а в ответ тишина. Немного настораживает. Пингуем с роутера, тишина. Настораживает сильнее. Пингуем с Ideco внешний интерфейс, все ОК. Сетевуха 100% ставилась исправной, на всякий случай заменилась второй, потом третьей. Картина осталась прежней. Берем первый попавшийся LiveCD (попался с Ubuntu 9.10), пингуем роутер, все OK. Страх по поводу неисправной аппаратной части пропал. И тут в голову приходит гениальная мысль, «а на каком чипе то сетевушки?». Вот повезло то, все на одном чипе RTL8139D. Логически рассуждая, что здесь не все так гладко (Ideco RTL8139D), лезем в закрома, находим сетевушку от D-Link (по поводу чипа, лень лезть в системник и смотреть маркировку), вставляем куда надо (соблюдая технику безопасности), включаем шлюз, и о чудо Ideco ожил. (Примечание. Перед установкой Ideco посмотрите на форуме http://www.ideco.ru/forum3/ совместимость аппаратной части, как оказалось здесь не все так гладко)

Приступаем к настройке через веб-интерфейс. Открываем браузер на клиенте вводим 192.168.0.1, устанавливаем сертификат. Кликаем на Пользователи, и снова бубен. Группа Все(63) и Корзина, а где пользователи, где они 63? Пытаюсь создать группу, создается но в списке не отображается. Недолго думая мылим (все что мы о них думаем) на support@ideco.ru. В ответ получаем, что необходимо произвести активацию продукта. Ну надо так надо. После 10 неудачных попыток автоматической активации через интернет, берем в руки телефон и набираем московский номер. Специалист тех. поддержки просит нас выслать на все тот же support@ideco.ru рег. номер. Минут через 20, получаем ответный код, вводим в соответствующем разделе, полный ребут. И О. снова чудо, пользователи появились. Предложение к разработчикам: «Хотелось бы чтоб этот момент был освящен в руководстве «Приступая к работе».

Создаем первого пользователя, разрешаем ему NAT (Примечание. Перед этим при первичной настройке мы уже включили NAT на шлюзе), идем в firewall отключаем там все, делаем ребут. Пытаемся с клиента ping ya.ru, и снова бубен. По новой смотрим «NAT — включен, пользователю NAT разрешен, firewall — пуст». Для уверенности заходим локально в интерфейс управления Ideco, вводим iptables -L, О. сколько тут всего вкусного и скрыто от администратора Ideco. Включив немного логику идем в firewall, и делаем следующие записи:

Source: 192.168.0.0 mask: 255.255.255.0
Destination: 0.0.0.0 mask: 0.0.0.0
Протокол: ALL Путь: FORWARD Действие: Разрешить
и
Source: 0.0.0.0 mask: 0.0.0.0
Destination: 192.168.0.0 mask: 255.255.255.0
Протокол: ALL Путь: FORWARD Действие: Разрешить

Перезапускаем firewall, все теперь клиент имеет доступ наружу используя NAT.

Замечание к разработчикам: выделяйте данные моменты в своих руководствах жирным шрифтом, и желательно еще с таким знаком «!». Прочитав «Приступая к работе» от Ideco, нигде не нашел, что по умолчанию в версии Ideco ICS сертифицированного ФСТЭК действует политика «Запрещено все, что не разрешено»

Включаем Squid, используя мастер настройки. Ставим галочку «разрешить прозрачное кеширование», делаем полный ребут (как доктор прописал). И снова бубен (клиент остался без интернета). При этом NAT работает, ICMP ходит без проблем, а вот порт:80 ушел (в никуда). В принципе так и должно быть, за исключением того что squid должен был скушать все что идет по 80 порту. Идем в логи squid, а там тишина. Настраиваем squid на прослушивание локального интерфейса по порту 3128 (в веб-интерфейсе галочка «разрешить прямое подключение к прокси»). Настраиваем клиента на работу через прокси, и снова чудо, интернет появился (squid жужит аки пчела), логи пишутся, статистика работает.

С этого момента пошел процесс общения с support@ideco.ru. О результатах обязательно будет продолжение, с картинками!

Итак, продолжаем. Саппорт Ideco особо не помог . Грабли на которые наступили, нашел сам. И вот грабли:

При начальной настройке, автоматом заполнил и интерфейсы. А прозрачный Squid живет на 169.254.254.254, вот Ideco его и резал. По этому поводу официальный ответ саппорта Ideco, после того когда им сообщили что сами разобрались,

Ссылка на основную публикацию
Статьи c упоминанием слов:
Adblock
detector