Точка защиты::Журнал СА 6.2004
www.samag.ru
     
Поиск   
              
 www.samag.ru    Web  0 товаров , сумма 0 руб.
E-mail
Пароль  
 Запомнить меня
Регистрация | Забыли пароль?
Журнал "Системный администратор"
Журнал «БИТ»
Подписка
Архив номеров
Где купить
Наука и технологии
Авторам
Рекламодателям
Контакты
   

  Опросы
  Статьи

Дата-центры  

Дата-центры: есть ли опасность утечки данных?

Российские компании уже несколько лет испытывают дефицит вычислительных мощностей. Рост числа проектов,

 Читать далее...

Событие  

В банке рассола ждет сисадмина с полей фрактал-кукумбер

Читайте впечатления о слете ДСА 2024, рассказанные волонтером и участником слета

 Читать далее...

Организация бесперебойной работы  

Бесперебойная работа ИТ-инфраструктуры в режиме 24/7 Как обеспечить ее в нынешних условиях?

Год назад ИТ-компания «Крок» провела исследование «Ключевые тренды сервисного рынка 2023». Результаты

 Читать далее...

Книжная полка  

Читайте и познавайте мир технологий!

Издательство «БХВ» продолжает радовать выпуском интересных и полезных, к тому же прекрасно

 Читать далее...

СУБД PostgreSQL  

СУБД Postgres Pro

Сертификация по новым требованиям ФСТЭК и роль администратора без доступа к данным

 Читать далее...

Критическая инфраструктура  

КИИ для оператора связи. Готовы ли компании к повышению уровня кибербезопасности?

Похоже, что провайдеры и операторы связи начали забывать о требованиях законодательства

 Читать далее...

Архитектура ПО  

Архитектурные метрики. Качество архитектуры и способность системы к эволюционированию

Обычно соответствие программного продукта требованиям мы проверяем через скоуп вполне себе понятных

 Читать далее...

Как хорошо вы это знаете  

Что вам известно о разработках компании ARinteg?

Компания ARinteg (ООО «АРинтег») – системный интегратор на российском рынке ИБ –

 Читать далее...

Графические редакторы  

Рисование абстрактных гор в стиле Paper Cut

Векторный графический редактор Inkscape – яркий представитель той прослойки open source, с

 Читать далее...

День сисадмина  

Учите матчасть! Или как стать системным администратором

Лето – время не только отпусков, но и хорошая возможность определиться с профессией

 Читать далее...

День сисадмина  

Живой айтишник – это всегда движение. Остановка смерти подобна

Наши авторы рассказывают о своем опыте и дают советы начинающим системным администраторам.

 Читать далее...

Виртуализация  

Рынок решений для виртуализации

По данным «Обзора российского рынка инфраструктурного ПО и перспектив его развития», сделанного

 Читать далее...

Книжная полка  

Как стать креативным и востребованным

Издательский дом «Питер» предлагает новинки компьютерной литературы, а также книги по бизнесу

 Читать далее...

Книжная полка  

От создания сайтов до разработки и реализации API

В издательстве «БХВ» недавно вышли книги, которые будут интересны системным администраторам, создателям

 Читать далее...

1001 и 1 книга  
19.03.2018г.
Просмотров: 6227
Комментарии: 0
Машинное обучение с использованием библиотеки Н2О

 Читать далее...

12.03.2018г.
Просмотров: 6933
Комментарии: 0
Особенности киберпреступлений в России: инструменты нападения и защита информации

 Читать далее...

12.03.2018г.
Просмотров: 4217
Комментарии: 0
Глубокое обучение с точки зрения практика

 Читать далее...

12.03.2018г.
Просмотров: 3009
Комментарии: 0
Изучаем pandas

 Читать далее...

12.03.2018г.
Просмотров: 3807
Комментарии: 0
Программирование на языке Rust (Цветное издание)

 Читать далее...

19.12.2017г.
Просмотров: 3825
Комментарии: 0
Глубокое обучение

 Читать далее...

19.12.2017г.
Просмотров: 6318
Комментарии: 0
Анализ социальных медиа на Python

 Читать далее...

19.12.2017г.
Просмотров: 3172
Комментарии: 0
Основы блокчейна

 Читать далее...

19.12.2017г.
Просмотров: 3462
Комментарии: 0
Java 9. Полный обзор нововведений

 Читать далее...

16.02.2017г.
Просмотров: 7279
Комментарии: 0
Опоздавших не бывает, или книга о стеке

 Читать далее...

17.05.2016г.
Просмотров: 10647
Комментарии: 0
Теория вычислений для программистов

 Читать далее...

30.03.2015г.
Просмотров: 12367
Комментарии: 0
От математики к обобщенному программированию

 Читать далее...

18.02.2014г.
Просмотров: 14000
Комментарии: 0
Рецензия на книгу «Читаем Тьюринга»

 Читать далее...

13.02.2014г.
Просмотров: 9126
Комментарии: 0
Читайте, размышляйте, действуйте

 Читать далее...

12.02.2014г.
Просмотров: 7079
Комментарии: 0
Рисуем наши мысли

 Читать далее...

10.02.2014г.
Просмотров: 5389
Комментарии: 3
Страна в цифрах

 Читать далее...

18.12.2013г.
Просмотров: 4617
Комментарии: 0
Большие данные меняют нашу жизнь

 Читать далее...

18.12.2013г.
Просмотров: 3428
Комментарии: 0
Компьютерные технологии – корень зла для точки роста

 Читать далее...

04.12.2013г.
Просмотров: 3156
Комментарии: 0
Паутина в облаках

 Читать далее...

03.12.2013г.
Просмотров: 3402
Комментарии: 0
Рецензия на книгу «MongoDB в действии»

 Читать далее...

02.12.2013г.
Просмотров: 3027
Комментарии: 0
Не думай о минутах свысока

 Читать далее...

Друзья сайта  

 Точка защиты

Архив номеров / 2004 / Выпуск №6 (19) / Точка защиты

Рубрика: Безопасность /  Сетевая безопасность

Сергей Яремчук СЕРГЕЙ ЯРЕМЧУК, фрилансер. Автор более 800 статей и шести книг. С «СА» с первого номера. Интересы: сетевые технологии, защита информации, свободные ОС

Точка защиты

Так уж получилось, что моим первым Linux-дистрибутивом был не один из типично пользовательских вроде Red Hat, с чего обычно начинают знакомство, а маленький однодискетный FreeSCO (http://www.freesco.org), о котором я писал в сентябрьском номере журнала за 2003 г. Небольшая заметка на каком-то сайте, в которой было рассказано о том, как с  его помощью можно быстро и без особых трудностей настроить совмесный доступ в Интернет группе компьютеров, не только помогла решить проблему человеку, доселе этим никогда не занимавшемуся. В итоге это знакомство полностью изменило мою жизнь. Вместо Windows пришел Linux, вместо assembler и Pascal – Perl, PHP. Стал интересоваться сетями. Может быть, поэтому моим любимым занятием является поиск и тестирование таких специальных дистрибутивов. Сегодня предлагаю в общих чертах познакомиться с довольно мощным, но в то же время очень простым и понятным в настройке дистрибутивом.

Речь пойдет о немецком дистрибутиве Securepoint от Securepoint Security Solutions, английское зеркало сайта: http://www.securepoint.cc. Он представляет собой полностью готовый набор программных средств, предназначенных для создания межсетевого экрана корпоративного (enterprisewide) уровня. Но мало того, что Securepoint, как и положено, предохраняет внутреннюю сеть от атак извне, но с его помощью можно легко отделить части внутренней сети друг от друга и определить индивидуальные правила защиты для каждого сегмента, создать и управлять туннелями VPN для защиты трафика удаленных сетей и пользователей, ведение логов и предупреждений. При этом перенастраивать существующую сеть совсем необязательно, Securepoint спокойно уживается на отдельном компьютере и без проблем вписывается в большинство топологий со своими firewall и VPN. Если поискать на сайте, то можно наткнуться и на прайс с довольно солидными суммами, но беспокоиться не стоит, деньги берут за техническую поддержку, сам же дистрибутив доступен для свободного скачивания и распространяется как freeware, для доступа к странице закачки от вас потребуют ввести e-mail и название компании. Системные требования скромны, процессор класса Pentium II 300, 64 Мб ОЗУ, около 4 Гб жесткий диск (IDE или поддержаны некоторые SCSI). Базируется он, судя по всему, на Red Hat. Поддерживается одновременно от 2 до 16 сетевых интерфейсов. Перед установкой желательно все же свериться с whitepapers (http://europe-01.securepoint.de/whitepapers_int3.1.pdf), иначе попытка может завершиться неудачей. И хотя сам процесс установки сложности вызвать не должен по причине простоты и понятности всех операций, но вкратце остановлюсь, чтобы было понятно, с чем имеем дело. Более полную картину даст 96-страничный manual, который вы найдете на сайте или в самом дистрибутиве.

Установка

Скачиваем по ссылке ISO-образ дистрибутива размером 245 Мб (версия securepoint-3.1.3p3.iso). Можно не спешить сразу тянуть остальные приложения, документы и патчи, доступные на странице закачки, т.к. большая часть имеется уже в указаном образе и вы зря потеряете время. Каталоги CD-ROM имеют такую структуру:

  • basic – архивы с основной системой;
  • isolinux – загрузочный образ;
  • intrusion_detection_system – сервер и клиент Nuzzler Intrusion Detection System;
  • opt – архивы с Securepoint Firewall & VPN Server, AntiVir virus scanner, Trendmicro VirusWall, утилиты конфигурирования;
  • tools – утилиты под Windows: diskwriter (для создания загрузочной дискеты), Nuzzler Intrusion Detection System Basic Edition, Securepoint Network Test Tool, в папке securepoint_client клиент для удаленной настройки Securepoint (в подкаталоге samples найдете заготовки) и SSH Sentinel VPN client;
  • update – приложения для обновления Securepoint с версий 2.x и 3.x до 3.1.3.

СD-ROM является загрузочным, поэтому выставляем в BIOS необходимые параметры и загружаемся. Установка полностью проходит в графическом режиме во framebuffer. Предстоит пройти всего четыре шага. На первом спрашивается keymap, хотя имеется и ru, но, наверное, лучше выставить us во избежание проблем, и нажимаем Start. Далее предлагается выбрать язык, к сожалению, выбирать приходится только между английским и немецким. И лицензию Securepoint Office, Business, Рrofessional. В зависимости от выбраной лицензии на следующем шаге будет доступно разное количество сетевых интерфейсов для конфигурирования (от 2 до 16), а также доступность продвинутых опций вроде VPN. И попадаем в следующее окно конфигурации, где предлагается в нескольких вкладках настроить параметры системы.

В «Default Configuration» выбираем пакеты – Firewall (Securepoint firewall & VPN), VirusWall (ftp/http(s)/smtp VirusScanner), Mailgate (E-mail VirusScanner) и Config (console configuration firewall), файловую систему (ext2/ext3/ReiserFS) и Software RAID при наличии двух дисков.

Во вкладке «Network Configuration» настраиваем сетевые интерфейсы (Ethernet, TokenRing, Adsl, ISDN), вводим IP-адрес, Bitcount (битовую маску сети, например, 255.255.255.0 – 24) и вручную выбираем драйвер сетевой карты из списка. На первом сетевом интерфейсе указываются параметры внешней сети, на втором внутренняя сеть и остальные DMZ. И в «Global Setting» вводим name (имя компьютера), Getaway admin IP (IP-адрес внутренней сети, с которой будет удаленно управляться компьютер) и пароль для доступа.

В окне «Driver Help» можно получить помощь в выборе драйвера к своей сетевой карте. Надо отметить, что если вы неправильно укажете драйвер, то установка продолжена не будет. На этом все. После окончания процесса копирования компьютер перезагружаем.

Последующая настройка

При необходимости обновить систему, монтируем CD-ROM с дистрибутивом.

#mount /dev/hdd /mnt/cdrom

Заходим в каталог update cd /mnt/cdrom/update и вводим ./install.sh, после чего следуем за инструкциями на экране. После чего перезагружаем систему.

Последующее конфигурирование возможно проводить двумя способами (не считая непосредственного редактирования конфигурационных файлов). Первый, находясь в системе, при помощи скрипта conf.sh, который лежит в /opt/securepoint3.0/bin (рис. 1). Но более удобно и наглядно особенно для новичков будет настройка при помощи клиента Securepoint Security Manager, работающего под управлением Windows 98, NT, XP и 2000. Ставим программу, как обычно нажав setup.exe, после чего в меню «Пуск» появятся еще два приложения: сам Securepoint Security Manager и Bitcount calculator, предназначенный для перерасчета маски сети в битовую маску и наоборот. Запускаем (рис. 2).

Рисунок 1

Рисунок 1

Рисунок 2

Рисунок 2

Вводим пароль для доступа, выбираем из выпадающего списка нужный сервер, если список пустой, то вводим атрибуты серверов (имя, IP-адрес, порт по умолчанию – 11112), логин и пароль для первого доступа admin/ admin. Обратите внимание на возможность работы без подключения к серверу, что очень удобно и безопасно, для этого устанавливаем галочку напротив «offline mode». Появляется главное окно утилиты (рис. 3).

Рисунок 3

Рисунок 3

Для облегчения настройки разработчиками подготовлено 6 конфигурационных файлов beginner1[-6].isf, которые можно найти в подкаталоге samples дистрибутива программы (в documents найдете документацию по дистрибутиву и whitepapers):

  • Easy Internet configuration – beginner1.isf.
  • Static NAT configuration with web server in DMZ1 – beginner2.isf.
  • Proxy server configuration – beginner3.isf.
  • VPN PPTP server / roadwarrior configuration – beginner4.isf.
  • VPN IPSec server / roadwarrior configuration – beginner5.isf.
  • AntiVir virus scanner configuration – beginner6.isf.

Выбираем близкий по назначению и открываем через File – Open пароль для доступа test. Теперь приводим к своим данным: изменяем IP-адреса на используемые, добавляем хосты, сети и свои правила. Все действо происходит в довольно понятных диалогах (рис. 4), и, зная необходимые параметры, настроить сеть можно без проблем. Так, в пункте Modify изменяем правила настройки firewall и в Network Topology просматриваем все известные компьютеры (рис. 5), выбрав Options, получаем возможность настроить сам сервер (рис. 6). В меню «Reports» доступно несколько пунктов, позволяющих автоматически проанализировать системные и squid лог-файлы, получить информацию о трафике и протестировать соединение. Программа будет работать в течение 30 дней, далее необходимо зарегистрироваться на http://register.securepoint.cc, как и другие утилиты под Windows-систему.

Рисунок 4

Рисунок 4

Рисунок 5

Рисунок 5

Рисунок 6

Рисунок 6

Кратко о настройке других приложений

Все дополнительные программы, выбранные при установке системы в пункте «Default Configuration», находятся в каталоге /opt и требуют отдельного вмешательства для своего запуска. Так, 30-дневная демоверсия InterScan VirusWall System, кроме возможности по защите от вирусов и другого злонамеренного кода, просматривает SMTP-, HTTP- и FTP-трафик. И дополнительно включает, кроме всего прочего, и eManager, представляющий собой плагин для отфильтровки спама и контекстные фильтры, позволяющие блокировать нежелательный трафик, обеспечивая таким образом возможность защитить интеллектуальную собственность компании и конфиденциальную информацию. Для установки заходим в /opt/trendmicro и запускаем ./isinst, после чего следуем за инструкциями на экране, все настройки расписаны в файле readme_linux.txt. Настроить затем его можно при помощи веб-интерфейса.

В /opt/avmailgate-2.0.0.6-Linux-glibc найдете AntiVir Mail-Gate, которую также необходимо установить, запустив скрипт avinstall.pl. Поддерживается сканирование email, http, ftp и файлов. Антивирус совместим со многими Mail Transport Agents (MTA) вроде sendmail, postfix, qmail, exim. Работа идет по принципу промежуточного накопления, когда программа аvgated получает почту и хранит ее в промежуточном каталоге, а avgatefwd просматривает файлы, и если не находит в них ничего подозрительного, то переправляет файл дальше. Если же будет найден вирус, то будет отправлено сообщение по адресу, указанному в файле /opt/avmailgate-2.0.0.6-Linux-glibc/avmailgate/etc/antivir.conf. Для частных пользователей лицензия бесплатна, но ее необходимо обновлять раз в год, и модификации доступны реже, чем для платных пользователей.

И наконец система Securepoint Intrusion Detection System, позволяющая просматривать трафик, приходящий из внешний сети, а также установить датчики внутри всех контролируемых сетей. К использованию предлагаются коммерческий Nuzzler Server Edition, стоящий 99 евро, и свободный Basic Edition, для активации которого достаточно получить у компании ключ.

Nuzzler может обнаруживать возможные атаки, вирусы, trojans и т. п. Основная постановка включает более чем 1500 правил для различных категорий, к которым вы можете сами прибавлять новые правила и изменять старые, имеет интегрированную sniffer-систему, показывающую в реальном времени каждый блок данных (TCP, UDP и ICMP), не сохраняя его в журнал.

Вот в принципе и все. В документации все подробно расписано. Вывод, я думаю, очевиден. Securepoint представляет собой удобное и законченное решение, позволяющее легко создавать сети любых конфигураций и следить за их безопасностью. Наличие же некотрых необязательных платных составляющих только добавляет плюсов к имиджу дистрибутива.


Комментарии отсутствуют

Добавить комментарий

Комментарии могут оставлять только зарегистрированные пользователи

               Copyright © Системный администратор

Яндекс.Метрика
Tel.: (499) 277-12-45
E-mail: sa@samag.ru