Open Source-решение: сетевой шлюз Untangle::Журнал СА 10.2007
www.samag.ru
     
Поиск   
              
 www.samag.ru    Web  0 товаров , сумма 0 руб.
E-mail
Пароль  
 Запомнить меня
Регистрация | Забыли пароль?
Журнал "Системный администратор"
Журнал «БИТ»
Подписка
Архив номеров
Где купить
Наука и технологии
Авторам
Рекламодателям
Контакты
   

  Опросы
  Статьи

Дата-центры  

Дата-центры: есть ли опасность утечки данных?

Российские компании уже несколько лет испытывают дефицит вычислительных мощностей. Рост числа проектов,

 Читать далее...

Книжная полка  

Защиты много не бывает

Среди книжных новинок издательства «БХВ» есть несколько изданий, посвященных методам социальной инженерии

 Читать далее...

Событие  

В банке рассола ждет сисадмина с полей фрактал-кукумбер

Читайте впечатления о слете ДСА 2024, рассказанные волонтером и участником слета

 Читать далее...

Организация бесперебойной работы  

Бесперебойная работа ИТ-инфраструктуры в режиме 24/7 Как обеспечить ее в нынешних условиях?

Год назад ИТ-компания «Крок» провела исследование «Ключевые тренды сервисного рынка 2023». Результаты

 Читать далее...

Книжная полка  

Читайте и познавайте мир технологий!

Издательство «БХВ» продолжает радовать выпуском интересных и полезных, к тому же прекрасно

 Читать далее...

СУБД PostgreSQL  

СУБД Postgres Pro

Сертификация по новым требованиям ФСТЭК и роль администратора без доступа к данным

 Читать далее...

Критическая инфраструктура  

КИИ для оператора связи. Готовы ли компании к повышению уровня кибербезопасности?

Похоже, что провайдеры и операторы связи начали забывать о требованиях законодательства

 Читать далее...

Архитектура ПО  

Архитектурные метрики. Качество архитектуры и способность системы к эволюционированию

Обычно соответствие программного продукта требованиям мы проверяем через скоуп вполне себе понятных

 Читать далее...

Как хорошо вы это знаете  

Что вам известно о разработках компании ARinteg?

Компания ARinteg (ООО «АРинтег») – системный интегратор на российском рынке ИБ –

 Читать далее...

Графические редакторы  

Рисование абстрактных гор в стиле Paper Cut

Векторный графический редактор Inkscape – яркий представитель той прослойки open source, с

 Читать далее...

День сисадмина  

Учите матчасть! Или как стать системным администратором

Лето – время не только отпусков, но и хорошая возможность определиться с профессией

 Читать далее...

День сисадмина  

Живой айтишник – это всегда движение. Остановка смерти подобна

Наши авторы рассказывают о своем опыте и дают советы начинающим системным администраторам.

 Читать далее...

Виртуализация  

Рынок решений для виртуализации

По данным «Обзора российского рынка инфраструктурного ПО и перспектив его развития», сделанного

 Читать далее...

Книжная полка  

Как стать креативным и востребованным

Издательский дом «Питер» предлагает новинки компьютерной литературы, а также книги по бизнесу

 Читать далее...

1001 и 1 книга  
19.03.2018г.
Просмотров: 6417
Комментарии: 0
Машинное обучение с использованием библиотеки Н2О

 Читать далее...

12.03.2018г.
Просмотров: 7120
Комментарии: 0
Особенности киберпреступлений в России: инструменты нападения и защита информации

 Читать далее...

12.03.2018г.
Просмотров: 4399
Комментарии: 0
Глубокое обучение с точки зрения практика

 Читать далее...

12.03.2018г.
Просмотров: 3086
Комментарии: 0
Изучаем pandas

 Читать далее...

12.03.2018г.
Просмотров: 3883
Комментарии: 0
Программирование на языке Rust (Цветное издание)

 Читать далее...

19.12.2017г.
Просмотров: 3898
Комментарии: 0
Глубокое обучение

 Читать далее...

19.12.2017г.
Просмотров: 6389
Комментарии: 0
Анализ социальных медиа на Python

 Читать далее...

19.12.2017г.
Просмотров: 3234
Комментарии: 0
Основы блокчейна

 Читать далее...

19.12.2017г.
Просмотров: 3530
Комментарии: 0
Java 9. Полный обзор нововведений

 Читать далее...

16.02.2017г.
Просмотров: 7364
Комментарии: 0
Опоздавших не бывает, или книга о стеке

 Читать далее...

17.05.2016г.
Просмотров: 10726
Комментарии: 0
Теория вычислений для программистов

 Читать далее...

30.03.2015г.
Просмотров: 12446
Комментарии: 0
От математики к обобщенному программированию

 Читать далее...

18.02.2014г.
Просмотров: 14098
Комментарии: 0
Рецензия на книгу «Читаем Тьюринга»

 Читать далее...

13.02.2014г.
Просмотров: 9193
Комментарии: 0
Читайте, размышляйте, действуйте

 Читать далее...

12.02.2014г.
Просмотров: 7142
Комментарии: 0
Рисуем наши мысли

 Читать далее...

10.02.2014г.
Просмотров: 5447
Комментарии: 3
Страна в цифрах

 Читать далее...

18.12.2013г.
Просмотров: 4683
Комментарии: 0
Большие данные меняют нашу жизнь

 Читать далее...

18.12.2013г.
Просмотров: 3497
Комментарии: 0
Компьютерные технологии – корень зла для точки роста

 Читать далее...

04.12.2013г.
Просмотров: 3213
Комментарии: 0
Паутина в облаках

 Читать далее...

03.12.2013г.
Просмотров: 3449
Комментарии: 0
Рецензия на книгу «MongoDB в действии»

 Читать далее...

02.12.2013г.
Просмотров: 3091
Комментарии: 0
Не думай о минутах свысока

 Читать далее...

Друзья сайта  

 Open Source-решение: сетевой шлюз Untangle

Архив номеров / 2007 / Выпуск №10 (59) / Open Source-решение: сетевой шлюз Untangle

Рубрика: Безопасность /  Сетевая безопасность

Сергей Яремчук

Open Source-решение: сетевой шлюз Untangle

Несмотря на все усилия компаний и специалистов, Интернет так и не стал безопасной территорией. Спам, фишинг, вирусы, компьютерные атаки и прочее – это реалии, с которыми приходится считаться. Первыми на их пути стоят специализированные решения.

Платформа Untangle [1], представленная одноименной компанией (раннее Metavize), создана на основе более 30 решений с открытыми исходными текстами, среди которых – дистрибутив Knoppix, Snort, ClamAV, SpamAssasin, Squid и другие.

Целью проекта Untangle является замена коммерческих решений, таких как ISA Server, SonicWall или WatchGuard в небольших и средних организациях.

Основная идея нового проекта – дать администратору простой в настройке и управлении устанавливаемый на один компьютер инструмент, позволяющий укрепить безопасность сети.

В отличие от многих подобных решений, в которых присутствуют все модули защиты, в Untangle изначально ничего нет. Администратор самостоятельно выбирает необходимые ему модули защиты, которые устанавливаются уже после инсталляции основной системы (Untangle Gateway Platform).

Среди них компоненты, обеспечивающие маршрутизацию, фильтрацию спама, антивирусную и spyware проверку, межсетевой экран, антифишинг, обнаружение атак, контент фильтр, контроль протоколов, сервер OpenVPN и другие.

Модуль Attack Blocker собственной разработки позволяет защитить сеть от DoS-атак и некоторых других атак низкого уровня. Внешнему компьютеру в зависимости от его активности присваивается определенный статус, хосты, получившие плохую репутацию (атака, SYN flooding или сканирование портов), ограничиваются в трафике или полностью блокируется доступ к защищаемым ресурсам (расположенным в DMZ).

Система предоставляет администратору разнообразные отчеты по сетевой активности, протоколам и пользователям, инцидентам, количеству спама и обнаруженных вирусов, которые можно сохранить в файлы форматов PDF, HTML, XLS, CSV и XML.

Поддерживается NAT и при наличии третьего сетевого интерфейса возможна организация DMZ.

Разработчики утверждают, что при необходимости в любое время могут быть добавлены любые другие компоненты.

Продукт находится в постоянном развитии, планируется добавление поддержки VoIP, улучшение поддержки VMware и других виртуальных машин.

Все модули устанавливаются уже практически настроенными и готовыми к работе и обеспечивают некоторый уровень защиты. Хотя, естественно, администратору придется подогнать их параметры под конкретные условия.

Например, следует самостоятельно определить, какие системы и сервисы будут доступны из внешней сети. Фильтр контента может блокировать загрузку файлов по типу MIME, расширению, категориям или URL.

По умолчанию модуль Virus Blocker сканирует только входящий веб, ftp и почтовый трафик, но при необходимости можно активировать и проверку исходящего. Если есть необходимость в проверке при помощи двух антивирусов, следует установить модуль Dual Virus Blocker. Модуль Protocol Control «знает» больше чем о 90 протоколах.

Для настройки компонентов используется хотя и не локализованный, но вполне понятный графический интерфейс. Разработчики отказались от использования популярных сегодня веб-технологий в пользу Java. В результате все изменения в консоли управления, в том числе и статистика работы, доступны в реальном времени.

Поддерживаются только Ethernet-соединения со статически или динамически выдаваемым адресом и PPPoE-соединения. Как видите, здесь нет популярных сегодня ADSL, WiFi и других типов, но такой подход вполне соответствует основной задаче сервера Untangle: не организация доступа, а защита сети.

Для аутентификации пользователя может использоваться встроенный LDAP-сервер или средства интеграции с Active Directory.

Работающая система автоматически по расписанию или после регистрации в консоли администратора проверяет наличие обновлений, хотя такое поведение можно изменить. Например, отключить и обновлять выбранные компоненты вручную. Сохранить резервную копию конфигурации системы можно на жесткий диск или USB-устройство.

Распространяется Untangle по двум лицензиям. Основная часть системы по лицензии GNU GPL, но есть дополнительные модули, распространяемые по коммерческой лицензии.

Последняя представляет возможность технической поддержки в реальном времени, управление политиками доступа пользователей и групп, интеграцию с Active Directory, сохранение настроек на специализированном сервере для более быстрого восстановления (24-hour Replacement), а также Remote Access Portal, обеспечивающий безопасный доступ ко внутренним ресурсам сети через обычный веб-браузер без установки VPN-клиента.

Вторым источником доходов фирмы-разработчика является продажа серверов Untangle XD Server и XD+ Server с предустановленной и настроенной системой. Для свободной версии доступна только он-лайн-поддержка обществом пользователей.

Системные требования

В Untangle использован Java. Отсюда и системные требования. Так, для работы понадобится компьютер с Intel-совместимым процессором с частотой 1 Гц, оперативной памятью 512 Мб, жестким диском на 20 Гб и двумя сетевыми картами. Это минимальные требования, которые примерно соответствуют обслуживанию сети с 50 пользователями. Рекомендуемые требования следует умножить на 2, плюс для DMZ понадобится еще одна сетевая карта. Компьютер с такой конфигурацией сможет обслуживать уже сеть с 300 пользователями.

К сожалению, после многочисленных пробных установок можно заметить, что Untangle весьма привередлив к аппаратной части. Так, мне не удалось запустить Untangle ни на одном компьютере с жестким диском SATA. Причем, судя по разделу «Hardware Discussion» [2] на форуме проекта, такая проблема возникала не только у меня.

В некоторых случаях после запуска ядра появлялся просто черный экран либо заставка, но процесс замирал, дальше дело не шло. Причем это было как на старых, так и на новых компьютерах. Поэтому четко сказать, где будет работать Untangle, а где нет, я не могу. Покупать новый компьютер для установки Untangle без предварительного тестирования весьма рискованно.

Установка

ISO-образ размером в 410 Мб скачивается по ссылке с SourceForge без предварительной регистрации и других неудобств, которыми изобилуют некоторые проекты.

После загрузки ядра появится окно приветствия, и далее для установки Untangle необходимо будет сделать еще четыре шага.

Сначала принимаем лицензионное соглашение, затем выбираем диск. Кстати, если в системе будет подключено два диска, то установщик может прекратить работу. Прочитав два раза предупреждение о том, что на выбранном диске будут уничтожены все данные, переходим к этапу проверки оборудования.

После оценки производительности процессора, объема ОЗУ, жесткого диска и наличия сетевых карт будет показана оценка их соответствия минимальным и рекомендуемым требованиям (см. рис. 1). Если компьютер не подходит под минимальные требования, появится предупреждение красного цвета, а если рекомендуемого – оранжевого.

Рисунок 1. Соответствие элементов компьютера требованиям Untangle

Рисунок 1. Соответствие элементов компьютера требованиям Untangle

Читаем финальное предупреждение и нажимаем кнопку «Finish», после чего файлы копируются на жесткий диск, дальше потребуется перезагрузка.

Вот, собственно, и вся установка.

Постинсталляционная настройка

В качестве загрузчика используется Grub, что очень удобно, так как мне пришлось задавать дополнительные параметры ядру, чтобы отключить APIC.

После перезагрузки вас встретит еще один мастер – Server Setup Wizard, который поможет произвести первичную настройку системы. Здесь нужно пройти 9 шагов.

В следующем после приветствия окне заполняем контактную информацию (организация, адрес, e-mail, имя, фамилия и прочее). Поля, отмеченные как «required», следует заполнить обязательно.

Далее вводим пароль для учетной записи admin и указываем часовой пояс.

На следующем шаге «Interface Test» система пытается найти сетевые устройства и выдает результирующую таблицу (см. рис. 2).

Рисунок 2. Определение сетевых интерфейсов в «Server Setup Wizard»

Рисунок 2. Определение сетевых интерфейсов в «Server Setup Wizard»

И переходим к настройке внешнего интерфейса. Здесь требуется указать имя узла, задать использование DHCP или указать статический IP-адрес компьютера, шлюза и DNS-серверов, сетевую маску и учетные данные для PPPoE-подключения. Очень неудобно, что никакой наводящей информации по поводу наименования сетевых устройств не предоставляется.

Но как раз, чтобы помочь определиться, и предназначен следующий шаг мастера – Connectivity Test. В документации этот процесс описан приблизительно так – нажимаем кнопку, если соединения нет, то возвращаемся к предыдущим настройкам или перетыкаем кабель в другой разъем.

Далее мастер предлагает настроить вариант использования сервера Untangle.

Это может быть роутер, в этом случае будет включен NAT и DHCP, при настройках необходимо будет указать IP-адрес внутреннего интерфейса.

Если сервер подключен к другому маршрутизатору или брандмауэру, следует выбрать «Transparent Bridge».

Сервер Untangle может отсылать почтовые сообщения напрямую или через промежуточный SMTP-сервер. Это настраивается на шаге «Email Setting«. Здесь же для сообщений сервера указывается почтовый адрес, который будет стоять в поле «От». Нажатием кнопки можно проверить работу почты.

Вот и все настройки.

Работа в Untangle

По умолчанию сразу же после установки можно управлять сервером только с локальной консоли. Основные настройки производятся при помощи клиента, вызываемого нажатием «Launch Client». В некоторых случаях можно использовать терминал, но его назначение скорее вспомогательное.

Для регистрации в клиенте управления используем учетную запись admin и пароль, указанный при работе Server Setup Wizard.

После установки будут доступны настройки только во вкладке «Config». Выбрав эту вкладку, вы получите доступ к тем же параметрам, которые указывались при начальной конфигурации.

В «Remote Admin» создаются другие учетные записи для администрирования сервера, здесь же разрешается удаленное управление и настраиваются параметры доступа к серверу (адрес, с которого разрешен доступ, публичный адрес ресурса, создаются сертификаты).

В отдельном пункте этой же вкладки разрешается мониторинг при помощи SNMP или отсылка информации на сервер Syslog.

Перейдя во вкладку «Backup/Restore», можно сохранить или восстановить настройки в файл, раздел диска или USB.

После выхода из любого пункта конфигурация обновляется автоматически.

В пункте «Upgrade» выбираются компоненты, которые следует обновить, и настраивается периодичность обновления.

Удаленное управление практически ничем не отличается от работы за локальной консолью. Используя веб-браузер, сначала заходим по адресу сервера, загружаем по ссылке клиент, и после регистрации перед вами предстанет аналогичное окно (см. рис. 3).

Рисунок 3. Клиент управления сервером Untangle

Рисунок 3. Клиент управления сервером Untangle

При установленном соединении с Интернетом во вкладке «My Apps» будут показаны все доступные для установки компоненты. Просто выбираем то, что нужно, и щелкаем мышкой. Через некоторое время компонент появится в окне справа.

Нажав кнопку «Show Setting», можно уточнить его настройки.

Чуть правее кнопки на каждом компоненте отображаются графики, в которых в реальном времени отображаются результаты его работы (количество заблокированных сообщений, найденных вирусов и прочее).

При помощи двух кнопок можно включить или отключить компонент или просмотреть его статус: включен; включен, но есть проблемы в работе; отключен и сохраняет настройки.

Настройка параметров работы любого модуля интуитивна, и имея предварительный план, легко его реализовать.

Вердикт

Несмотря на проблемы с оборудованием и отсутствие локализации, впечатления от знакомства с платформой Untangle только положительные. Перед нами качественный, простой в настройке продукт, на который можно возложить все задачи по защите сети.

  1. Сайт проекта – http://www.untangle.com.
  2. Hardware Discussion Forum – http://forums.untangle.com/forumdisplay.php?f=3.
  3. Демоверсия клиента Untagle – http://untangledemo.untangle.com/webstart.

Комментарии отсутствуют

Добавить комментарий

Комментарии могут оставлять только зарегистрированные пользователи

               Copyright © Системный администратор

Яндекс.Метрика
Tel.: (499) 277-12-45
E-mail: sa@samag.ru