Open Source-решение: сетевой шлюз Untangle::Журнал СА 10.2007
www.samag.ru
     
Поиск   
              
 www.samag.ru    Web  0 товаров , сумма 0 руб.
E-mail
Пароль  
 Запомнить меня
Регистрация | Забыли пароль?
Журнал "Системный администратор"
Журнал «БИТ»
Наука и технологии
Подписка
Где купить
Авторам
Рекламодателям
Магазин
Архив номеров
Вакансии
Контакты
   

  Опросы

Какие курсы вы бы выбрали для себя?  

Очные
Онлайновые
Платные
Бесплатные
Я и так все знаю

 Читать далее...

1001 и 1 книга  
20.12.2019г.
Просмотров: 5101
Комментарии: 0
Dr.Web: всё под контролем

 Читать далее...

04.12.2019г.
Просмотров: 6343
Комментарии: 0
Особенности сертификаций по этичному хакингу

 Читать далее...

28.05.2019г.
Просмотров: 7599
Комментарии: 2
Анализ вредоносных программ

 Читать далее...

28.05.2019г.
Просмотров: 7922
Комментарии: 1
Микросервисы и контейнеры Docker

 Читать далее...

28.05.2019г.
Просмотров: 6978
Комментарии: 0
Django 2 в примерах

 Читать далее...

Друзья сайта  

Форум системных администраторов  

sysadmins.ru

 Open Source-решение: сетевой шлюз Untangle

Архив номеров / 2007 / Выпуск №10 (59) / Open Source-решение: сетевой шлюз Untangle

Рубрика: Безопасность /  Сетевая безопасность

Сергей Яремчук

Open Source-решение: сетевой шлюз Untangle

Несмотря на все усилия компаний и специалистов, Интернет так и не стал безопасной территорией. Спам, фишинг, вирусы, компьютерные атаки и прочее – это реалии, с которыми приходится считаться. Первыми на их пути стоят специализированные решения.

Платформа Untangle [1], представленная одноименной компанией (раннее Metavize), создана на основе более 30 решений с открытыми исходными текстами, среди которых – дистрибутив Knoppix, Snort, ClamAV, SpamAssasin, Squid и другие.

Целью проекта Untangle является замена коммерческих решений, таких как ISA Server, SonicWall или WatchGuard в небольших и средних организациях.

Основная идея нового проекта – дать администратору простой в настройке и управлении устанавливаемый на один компьютер инструмент, позволяющий укрепить безопасность сети.

В отличие от многих подобных решений, в которых присутствуют все модули защиты, в Untangle изначально ничего нет. Администратор самостоятельно выбирает необходимые ему модули защиты, которые устанавливаются уже после инсталляции основной системы (Untangle Gateway Platform).

Среди них компоненты, обеспечивающие маршрутизацию, фильтрацию спама, антивирусную и spyware проверку, межсетевой экран, антифишинг, обнаружение атак, контент фильтр, контроль протоколов, сервер OpenVPN и другие.

Модуль Attack Blocker собственной разработки позволяет защитить сеть от DoS-атак и некоторых других атак низкого уровня. Внешнему компьютеру в зависимости от его активности присваивается определенный статус, хосты, получившие плохую репутацию (атака, SYN flooding или сканирование портов), ограничиваются в трафике или полностью блокируется доступ к защищаемым ресурсам (расположенным в DMZ).

Система предоставляет администратору разнообразные отчеты по сетевой активности, протоколам и пользователям, инцидентам, количеству спама и обнаруженных вирусов, которые можно сохранить в файлы форматов PDF, HTML, XLS, CSV и XML.

Поддерживается NAT и при наличии третьего сетевого интерфейса возможна организация DMZ.

Разработчики утверждают, что при необходимости в любое время могут быть добавлены любые другие компоненты.

Продукт находится в постоянном развитии, планируется добавление поддержки VoIP, улучшение поддержки VMware и других виртуальных машин.

Все модули устанавливаются уже практически настроенными и готовыми к работе и обеспечивают некоторый уровень защиты. Хотя, естественно, администратору придется подогнать их параметры под конкретные условия.

Например, следует самостоятельно определить, какие системы и сервисы будут доступны из внешней сети. Фильтр контента может блокировать загрузку файлов по типу MIME, расширению, категориям или URL.

По умолчанию модуль Virus Blocker сканирует только входящий веб, ftp и почтовый трафик, но при необходимости можно активировать и проверку исходящего. Если есть необходимость в проверке при помощи двух антивирусов, следует установить модуль Dual Virus Blocker. Модуль Protocol Control «знает» больше чем о 90 протоколах.

Для настройки компонентов используется хотя и не локализованный, но вполне понятный графический интерфейс. Разработчики отказались от использования популярных сегодня веб-технологий в пользу Java. В результате все изменения в консоли управления, в том числе и статистика работы, доступны в реальном времени.

Поддерживаются только Ethernet-соединения со статически или динамически выдаваемым адресом и PPPoE-соединения. Как видите, здесь нет популярных сегодня ADSL, WiFi и других типов, но такой подход вполне соответствует основной задаче сервера Untangle: не организация доступа, а защита сети.

Для аутентификации пользователя может использоваться встроенный LDAP-сервер или средства интеграции с Active Directory.

Работающая система автоматически по расписанию или после регистрации в консоли администратора проверяет наличие обновлений, хотя такое поведение можно изменить. Например, отключить и обновлять выбранные компоненты вручную. Сохранить резервную копию конфигурации системы можно на жесткий диск или USB-устройство.

Распространяется Untangle по двум лицензиям. Основная часть системы по лицензии GNU GPL, но есть дополнительные модули, распространяемые по коммерческой лицензии.

Последняя представляет возможность технической поддержки в реальном времени, управление политиками доступа пользователей и групп, интеграцию с Active Directory, сохранение настроек на специализированном сервере для более быстрого восстановления (24-hour Replacement), а также Remote Access Portal, обеспечивающий безопасный доступ ко внутренним ресурсам сети через обычный веб-браузер без установки VPN-клиента.

Вторым источником доходов фирмы-разработчика является продажа серверов Untangle XD Server и XD+ Server с предустановленной и настроенной системой. Для свободной версии доступна только он-лайн-поддержка обществом пользователей.

Системные требования

В Untangle использован Java. Отсюда и системные требования. Так, для работы понадобится компьютер с Intel-совместимым процессором с частотой 1 Гц, оперативной памятью 512 Мб, жестким диском на 20 Гб и двумя сетевыми картами. Это минимальные требования, которые примерно соответствуют обслуживанию сети с 50 пользователями. Рекомендуемые требования следует умножить на 2, плюс для DMZ понадобится еще одна сетевая карта. Компьютер с такой конфигурацией сможет обслуживать уже сеть с 300 пользователями.

К сожалению, после многочисленных пробных установок можно заметить, что Untangle весьма привередлив к аппаратной части. Так, мне не удалось запустить Untangle ни на одном компьютере с жестким диском SATA. Причем, судя по разделу «Hardware Discussion» [2] на форуме проекта, такая проблема возникала не только у меня.

В некоторых случаях после запуска ядра появлялся просто черный экран либо заставка, но процесс замирал, дальше дело не шло. Причем это было как на старых, так и на новых компьютерах. Поэтому четко сказать, где будет работать Untangle, а где нет, я не могу. Покупать новый компьютер для установки Untangle без предварительного тестирования весьма рискованно.

Установка

ISO-образ размером в 410 Мб скачивается по ссылке с SourceForge без предварительной регистрации и других неудобств, которыми изобилуют некоторые проекты.

После загрузки ядра появится окно приветствия, и далее для установки Untangle необходимо будет сделать еще четыре шага.

Сначала принимаем лицензионное соглашение, затем выбираем диск. Кстати, если в системе будет подключено два диска, то установщик может прекратить работу. Прочитав два раза предупреждение о том, что на выбранном диске будут уничтожены все данные, переходим к этапу проверки оборудования.

После оценки производительности процессора, объема ОЗУ, жесткого диска и наличия сетевых карт будет показана оценка их соответствия минимальным и рекомендуемым требованиям (см. рис. 1). Если компьютер не подходит под минимальные требования, появится предупреждение красного цвета, а если рекомендуемого – оранжевого.

Рисунок 1. Соответствие элементов компьютера требованиям Untangle

Рисунок 1. Соответствие элементов компьютера требованиям Untangle

Читаем финальное предупреждение и нажимаем кнопку «Finish», после чего файлы копируются на жесткий диск, дальше потребуется перезагрузка.

Вот, собственно, и вся установка.

Постинсталляционная настройка

В качестве загрузчика используется Grub, что очень удобно, так как мне пришлось задавать дополнительные параметры ядру, чтобы отключить APIC.

После перезагрузки вас встретит еще один мастер – Server Setup Wizard, который поможет произвести первичную настройку системы. Здесь нужно пройти 9 шагов.

В следующем после приветствия окне заполняем контактную информацию (организация, адрес, e-mail, имя, фамилия и прочее). Поля, отмеченные как «required», следует заполнить обязательно.

Далее вводим пароль для учетной записи admin и указываем часовой пояс.

На следующем шаге «Interface Test» система пытается найти сетевые устройства и выдает результирующую таблицу (см. рис. 2).

Рисунок 2. Определение сетевых интерфейсов в «Server Setup Wizard»

Рисунок 2. Определение сетевых интерфейсов в «Server Setup Wizard»

И переходим к настройке внешнего интерфейса. Здесь требуется указать имя узла, задать использование DHCP или указать статический IP-адрес компьютера, шлюза и DNS-серверов, сетевую маску и учетные данные для PPPoE-подключения. Очень неудобно, что никакой наводящей информации по поводу наименования сетевых устройств не предоставляется.

Но как раз, чтобы помочь определиться, и предназначен следующий шаг мастера – Connectivity Test. В документации этот процесс описан приблизительно так – нажимаем кнопку, если соединения нет, то возвращаемся к предыдущим настройкам или перетыкаем кабель в другой разъем.

Далее мастер предлагает настроить вариант использования сервера Untangle.

Это может быть роутер, в этом случае будет включен NAT и DHCP, при настройках необходимо будет указать IP-адрес внутреннего интерфейса.

Если сервер подключен к другому маршрутизатору или брандмауэру, следует выбрать «Transparent Bridge».

Сервер Untangle может отсылать почтовые сообщения напрямую или через промежуточный SMTP-сервер. Это настраивается на шаге «Email Setting«. Здесь же для сообщений сервера указывается почтовый адрес, который будет стоять в поле «От». Нажатием кнопки можно проверить работу почты.

Вот и все настройки.

Работа в Untangle

По умолчанию сразу же после установки можно управлять сервером только с локальной консоли. Основные настройки производятся при помощи клиента, вызываемого нажатием «Launch Client». В некоторых случаях можно использовать терминал, но его назначение скорее вспомогательное.

Для регистрации в клиенте управления используем учетную запись admin и пароль, указанный при работе Server Setup Wizard.

После установки будут доступны настройки только во вкладке «Config». Выбрав эту вкладку, вы получите доступ к тем же параметрам, которые указывались при начальной конфигурации.

В «Remote Admin» создаются другие учетные записи для администрирования сервера, здесь же разрешается удаленное управление и настраиваются параметры доступа к серверу (адрес, с которого разрешен доступ, публичный адрес ресурса, создаются сертификаты).

В отдельном пункте этой же вкладки разрешается мониторинг при помощи SNMP или отсылка информации на сервер Syslog.

Перейдя во вкладку «Backup/Restore», можно сохранить или восстановить настройки в файл, раздел диска или USB.

После выхода из любого пункта конфигурация обновляется автоматически.

В пункте «Upgrade» выбираются компоненты, которые следует обновить, и настраивается периодичность обновления.

Удаленное управление практически ничем не отличается от работы за локальной консолью. Используя веб-браузер, сначала заходим по адресу сервера, загружаем по ссылке клиент, и после регистрации перед вами предстанет аналогичное окно (см. рис. 3).

Рисунок 3. Клиент управления сервером Untangle

Рисунок 3. Клиент управления сервером Untangle

При установленном соединении с Интернетом во вкладке «My Apps» будут показаны все доступные для установки компоненты. Просто выбираем то, что нужно, и щелкаем мышкой. Через некоторое время компонент появится в окне справа.

Нажав кнопку «Show Setting», можно уточнить его настройки.

Чуть правее кнопки на каждом компоненте отображаются графики, в которых в реальном времени отображаются результаты его работы (количество заблокированных сообщений, найденных вирусов и прочее).

При помощи двух кнопок можно включить или отключить компонент или просмотреть его статус: включен; включен, но есть проблемы в работе; отключен и сохраняет настройки.

Настройка параметров работы любого модуля интуитивна, и имея предварительный план, легко его реализовать.

Вердикт

Несмотря на проблемы с оборудованием и отсутствие локализации, впечатления от знакомства с платформой Untangle только положительные. Перед нами качественный, простой в настройке продукт, на который можно возложить все задачи по защите сети.

  1. Сайт проекта – http://www.untangle.com.
  2. Hardware Discussion Forum – http://forums.untangle.com/forumdisplay.php?f=3.
  3. Демоверсия клиента Untagle – http://untangledemo.untangle.com/webstart.

Комментарии отсутствуют

Добавить комментарий

Комментарии могут оставлять только зарегистрированные пользователи

               Copyright © Системный администратор

Яндекс.Метрика
Tel.: (499) 277-12-41
Fax: (499) 277-12-45
E-mail: sa@samag.ru