 |
|
|
|
Open Source-решение: сетевой шлюз Untangle
Open Source-решение: сетевой шлюз Untangle Несмотря на все усилия компаний и специалистов, Интернет так и не стал безопасной территорией. Спам, фишинг, вирусы, компьютерные атаки и прочее – это реалии, с которыми приходится считаться. Первыми на их пути стоят специализированные решения. Платформа Untangle [1], представленная одноименной компанией (раннее Metavize), создана на основе более 30 решений с открытыми исходными текстами, среди которых – дистрибутив Knoppix, Snort, ClamAV, SpamAssasin, Squid и другие. Целью проекта Untangle является замена коммерческих решений, таких как ISA Server, SonicWall или WatchGuard в небольших и средних организациях. Основная идея нового проекта – дать администратору простой в настройке и управлении устанавливаемый на один компьютер инструмент, позволяющий укрепить безопасность сети. В отличие от многих подобных решений, в которых присутствуют все модули защиты, в Untangle изначально ничего нет. Администратор самостоятельно выбирает необходимые ему модули защиты, которые устанавливаются уже после инсталляции основной системы (Untangle Gateway Platform). Среди них компоненты, обеспечивающие маршрутизацию, фильтрацию спама, антивирусную и spyware проверку, межсетевой экран, антифишинг, обнаружение атак, контент фильтр, контроль протоколов, сервер OpenVPN и другие. Модуль Attack Blocker собственной разработки позволяет защитить сеть от DoS-атак и некоторых других атак низкого уровня. Внешнему компьютеру в зависимости от его активности присваивается определенный статус, хосты, получившие плохую репутацию (атака, SYN flooding или сканирование портов), ограничиваются в трафике или полностью блокируется доступ к защищаемым ресурсам (расположенным в DMZ). Система предоставляет администратору разнообразные отчеты по сетевой активности, протоколам и пользователям, инцидентам, количеству спама и обнаруженных вирусов, которые можно сохранить в файлы форматов PDF, HTML, XLS, CSV и XML. Поддерживается NAT и при наличии третьего сетевого интерфейса возможна организация DMZ. Разработчики утверждают, что при необходимости в любое время могут быть добавлены любые другие компоненты. Продукт находится в постоянном развитии, планируется добавление поддержки VoIP, улучшение поддержки VMware и других виртуальных машин. Все модули устанавливаются уже практически настроенными и готовыми к работе и обеспечивают некоторый уровень защиты. Хотя, естественно, администратору придется подогнать их параметры под конкретные условия. Например, следует самостоятельно определить, какие системы и сервисы будут доступны из внешней сети. Фильтр контента может блокировать загрузку файлов по типу MIME, расширению, категориям или URL. По умолчанию модуль Virus Blocker сканирует только входящий веб, ftp и почтовый трафик, но при необходимости можно активировать и проверку исходящего. Если есть необходимость в проверке при помощи двух антивирусов, следует установить модуль Dual Virus Blocker. Модуль Protocol Control «знает» больше чем о 90 протоколах. Для настройки компонентов используется хотя и не локализованный, но вполне понятный графический интерфейс. Разработчики отказались от использования популярных сегодня веб-технологий в пользу Java. В результате все изменения в консоли управления, в том числе и статистика работы, доступны в реальном времени. Поддерживаются только Ethernet-соединения со статически или динамически выдаваемым адресом и PPPoE-соединения. Как видите, здесь нет популярных сегодня ADSL, WiFi и других типов, но такой подход вполне соответствует основной задаче сервера Untangle: не организация доступа, а защита сети. Для аутентификации пользователя может использоваться встроенный LDAP-сервер или средства интеграции с Active Directory. Работающая система автоматически по расписанию или после регистрации в консоли администратора проверяет наличие обновлений, хотя такое поведение можно изменить. Например, отключить и обновлять выбранные компоненты вручную. Сохранить резервную копию конфигурации системы можно на жесткий диск или USB-устройство. Распространяется Untangle по двум лицензиям. Основная часть системы по лицензии GNU GPL, но есть дополнительные модули, распространяемые по коммерческой лицензии. Последняя представляет возможность технической поддержки в реальном времени, управление политиками доступа пользователей и групп, интеграцию с Active Directory, сохранение настроек на специализированном сервере для более быстрого восстановления (24-hour Replacement), а также Remote Access Portal, обеспечивающий безопасный доступ ко внутренним ресурсам сети через обычный веб-браузер без установки VPN-клиента. Вторым источником доходов фирмы-разработчика является продажа серверов Untangle XD Server и XD+ Server с предустановленной и настроенной системой. Для свободной версии доступна только он-лайн-поддержка обществом пользователей. Системные требования В Untangle использован Java. Отсюда и системные требования. Так, для работы понадобится компьютер с Intel-совместимым процессором с частотой 1 Гц, оперативной памятью 512 Мб, жестким диском на 20 Гб и двумя сетевыми картами. Это минимальные требования, которые примерно соответствуют обслуживанию сети с 50 пользователями. Рекомендуемые требования следует умножить на 2, плюс для DMZ понадобится еще одна сетевая карта. Компьютер с такой конфигурацией сможет обслуживать уже сеть с 300 пользователями. К сожалению, после многочисленных пробных установок можно заметить, что Untangle весьма привередлив к аппаратной части. Так, мне не удалось запустить Untangle ни на одном компьютере с жестким диском SATA. Причем, судя по разделу «Hardware Discussion» [2] на форуме проекта, такая проблема возникала не только у меня. В некоторых случаях после запуска ядра появлялся просто черный экран либо заставка, но процесс замирал, дальше дело не шло. Причем это было как на старых, так и на новых компьютерах. Поэтому четко сказать, где будет работать Untangle, а где нет, я не могу. Покупать новый компьютер для установки Untangle без предварительного тестирования весьма рискованно. Установка ISO-образ размером в 410 Мб скачивается по ссылке с SourceForge без предварительной регистрации и других неудобств, которыми изобилуют некоторые проекты. После загрузки ядра появится окно приветствия, и далее для установки Untangle необходимо будет сделать еще четыре шага. Сначала принимаем лицензионное соглашение, затем выбираем диск. Кстати, если в системе будет подключено два диска, то установщик может прекратить работу. Прочитав два раза предупреждение о том, что на выбранном диске будут уничтожены все данные, переходим к этапу проверки оборудования. После оценки производительности процессора, объема ОЗУ, жесткого диска и наличия сетевых карт будет показана оценка их соответствия минимальным и рекомендуемым требованиям (см. рис. 1). Если компьютер не подходит под минимальные требования, появится предупреждение красного цвета, а если рекомендуемого – оранжевого.
Рисунок 1. Соответствие элементов компьютера требованиям Untangle Читаем финальное предупреждение и нажимаем кнопку «Finish», после чего файлы копируются на жесткий диск, дальше потребуется перезагрузка. Вот, собственно, и вся установка. Постинсталляционная настройка В качестве загрузчика используется Grub, что очень удобно, так как мне пришлось задавать дополнительные параметры ядру, чтобы отключить APIC. После перезагрузки вас встретит еще один мастер – Server Setup Wizard, который поможет произвести первичную настройку системы. Здесь нужно пройти 9 шагов. В следующем после приветствия окне заполняем контактную информацию (организация, адрес, e-mail, имя, фамилия и прочее). Поля, отмеченные как «required», следует заполнить обязательно. Далее вводим пароль для учетной записи admin и указываем часовой пояс. На следующем шаге «Interface Test» система пытается найти сетевые устройства и выдает результирующую таблицу (см. рис. 2).
Рисунок 2. Определение сетевых интерфейсов в «Server Setup Wizard» И переходим к настройке внешнего интерфейса. Здесь требуется указать имя узла, задать использование DHCP или указать статический IP-адрес компьютера, шлюза и DNS-серверов, сетевую маску и учетные данные для PPPoE-подключения. Очень неудобно, что никакой наводящей информации по поводу наименования сетевых устройств не предоставляется. Но как раз, чтобы помочь определиться, и предназначен следующий шаг мастера – Connectivity Test. В документации этот процесс описан приблизительно так – нажимаем кнопку, если соединения нет, то возвращаемся к предыдущим настройкам или перетыкаем кабель в другой разъем. Далее мастер предлагает настроить вариант использования сервера Untangle. Это может быть роутер, в этом случае будет включен NAT и DHCP, при настройках необходимо будет указать IP-адрес внутреннего интерфейса. Если сервер подключен к другому маршрутизатору или брандмауэру, следует выбрать «Transparent Bridge». Сервер Untangle может отсылать почтовые сообщения напрямую или через промежуточный SMTP-сервер. Это настраивается на шаге «Email Setting«. Здесь же для сообщений сервера указывается почтовый адрес, который будет стоять в поле «От». Нажатием кнопки можно проверить работу почты. Вот и все настройки. Работа в Untangle По умолчанию сразу же после установки можно управлять сервером только с локальной консоли. Основные настройки производятся при помощи клиента, вызываемого нажатием «Launch Client». В некоторых случаях можно использовать терминал, но его назначение скорее вспомогательное. Для регистрации в клиенте управления используем учетную запись admin и пароль, указанный при работе Server Setup Wizard. После установки будут доступны настройки только во вкладке «Config». Выбрав эту вкладку, вы получите доступ к тем же параметрам, которые указывались при начальной конфигурации. В «Remote Admin» создаются другие учетные записи для администрирования сервера, здесь же разрешается удаленное управление и настраиваются параметры доступа к серверу (адрес, с которого разрешен доступ, публичный адрес ресурса, создаются сертификаты). В отдельном пункте этой же вкладки разрешается мониторинг при помощи SNMP или отсылка информации на сервер Syslog. Перейдя во вкладку «Backup/Restore», можно сохранить или восстановить настройки в файл, раздел диска или USB. После выхода из любого пункта конфигурация обновляется автоматически. В пункте «Upgrade» выбираются компоненты, которые следует обновить, и настраивается периодичность обновления. Удаленное управление практически ничем не отличается от работы за локальной консолью. Используя веб-браузер, сначала заходим по адресу сервера, загружаем по ссылке клиент, и после регистрации перед вами предстанет аналогичное окно (см. рис. 3).
Рисунок 3. Клиент управления сервером Untangle При установленном соединении с Интернетом во вкладке «My Apps» будут показаны все доступные для установки компоненты. Просто выбираем то, что нужно, и щелкаем мышкой. Через некоторое время компонент появится в окне справа. Нажав кнопку «Show Setting», можно уточнить его настройки. Чуть правее кнопки на каждом компоненте отображаются графики, в которых в реальном времени отображаются результаты его работы (количество заблокированных сообщений, найденных вирусов и прочее). При помощи двух кнопок можно включить или отключить компонент или просмотреть его статус: включен; включен, но есть проблемы в работе; отключен и сохраняет настройки. Настройка параметров работы любого модуля интуитивна, и имея предварительный план, легко его реализовать. Вердикт Несмотря на проблемы с оборудованием и отсутствие локализации, впечатления от знакомства с платформой Untangle только положительные. Перед нами качественный, простой в настройке продукт, на который можно возложить все задачи по защите сети.
|
Сергей Яремчук
Комментарии отсутствуют
| Добавить комментарий |
|
Комментарии могут оставлять только зарегистрированные пользователи |
|
