Точка защиты

СЕРГЕЙ ЯРЕМЧУК, фрилансер. Автор более 800 статей и шести книг. С «СА» с первого номера. Интересы: сетевые технологии, защита информации, свободные ОС

Точка защиты

Так уж получилось, что моим первым Linux-дистрибутивом был не один из типично пользовательских вроде Red Hat, с чего обычно начинают знакомство, а маленький однодискетный FreeSCO (http://www.freesco.org), о котором я писал в сентябрьском номере журнала за 2003 г. Небольшая заметка на каком-то сайте, в которой было рассказано о том, как с  его помощью можно быстро и без особых трудностей настроить совмесный доступ в Интернет группе компьютеров, не только помогла решить проблему человеку, доселе этим никогда не занимавшемуся. В итоге это знакомство полностью изменило мою жизнь. Вместо Windows пришел Linux, вместо assembler и Pascal – Perl, PHP. Стал интересоваться сетями. Может быть, поэтому моим любимым занятием является поиск и тестирование таких специальных дистрибутивов. Сегодня предлагаю в общих чертах познакомиться с довольно мощным, но в то же время очень простым и понятным в настройке дистрибутивом.

Речь пойдет о немецком дистрибутиве Securepoint от Securepoint Security Solutions, английское зеркало сайта: http://www.securepoint.cc. Он представляет собой полностью готовый набор программных средств, предназначенных для создания межсетевого экрана корпоративного (enterprisewide) уровня. Но мало того, что Securepoint, как и положено, предохраняет внутреннюю сеть от атак извне, но с его помощью можно легко отделить части внутренней сети друг от друга и определить индивидуальные правила защиты для каждого сегмента, создать и управлять туннелями VPN для защиты трафика удаленных сетей и пользователей, ведение логов и предупреждений. При этом перенастраивать существующую сеть совсем необязательно, Securepoint спокойно уживается на отдельном компьютере и без проблем вписывается в большинство топологий со своими firewall и VPN. Если поискать на сайте, то можно наткнуться и на прайс с довольно солидными суммами, но беспокоиться не стоит, деньги берут за техническую поддержку, сам же дистрибутив доступен для свободного скачивания и распространяется как freeware, для доступа к странице закачки от вас потребуют ввести e-mail и название компании. Системные требования скромны, процессор класса Pentium II 300, 64 Мб ОЗУ, около 4 Гб жесткий диск (IDE или поддержаны некоторые SCSI). Базируется он, судя по всему, на Red Hat. Поддерживается одновременно от 2 до 16 сетевых интерфейсов. Перед установкой желательно все же свериться с whitepapers (http://europe-01.securepoint.de/whitepapers_int3.1.pdf), иначе попытка может завершиться неудачей. И хотя сам процесс установки сложности вызвать не должен по причине простоты и понятности всех операций, но вкратце остановлюсь, чтобы было понятно, с чем имеем дело. Более полную картину даст 96-страничный manual, который вы найдете на сайте или в самом дистрибутиве.

Установка

Скачиваем по ссылке ISO-образ дистрибутива размером 245 Мб (версия securepoint-3.1.3p3.iso). Можно не спешить сразу тянуть остальные приложения, документы и патчи, доступные на странице закачки, т.к. большая часть имеется уже в указаном образе и вы зря потеряете время. Каталоги CD-ROM имеют такую структуру:

• basic – архивы с основной системой;
• isolinux – загрузочный образ;
• intrusion_detection_system – сервер и клиент Nuzzler Intrusion Detection System;
• opt – архивы с Securepoint Firewall & VPN Server, AntiVir virus scanner, Trendmicro VirusWall, утилиты конфигурирования;
• tools – утилиты под Windows: diskwriter (для создания загрузочной дискеты), Nuzzler Intrusion Detection System Basic Edition, Securepoint Network Test Tool, в папке securepoint_client клиент для удаленной настройки Securepoint (в подкаталоге samples найдете заготовки) и SSH Sentinel VPN client;
• update – приложения для обновления Securepoint с версий 2.x и 3.x до 3.1.3.

СD-ROM является загрузочным, поэтому выставляем в BIOS необходимые параметры и загружаемся. Установка полностью проходит в графическом режиме во framebuffer. Предстоит пройти всего четыре шага. На первом спрашивается keymap, хотя имеется и ru, но, наверное, лучше выставить us во избежание проблем, и нажимаем Start. Далее предлагается выбрать язык, к сожалению, выбирать приходится только между английским и немецким. И лицензию Securepoint Office, Business, Рrofessional. В зависимости от выбраной лицензии на следующем шаге будет доступно разное количество сетевых интерфейсов для конфигурирования (от 2 до 16), а также доступность продвинутых опций вроде VPN. И попадаем в следующее окно конфигурации, где предлагается в нескольких вкладках настроить параметры системы.

В «Default Configuration» выбираем пакеты – Firewall (Securepoint firewall & VPN), VirusWall (ftp/http(s)/smtp VirusScanner), Mailgate (E-mail VirusScanner) и Config (console configuration firewall), файловую систему (ext2/ext3/ReiserFS) и Software RAID при наличии двух дисков.

Во вкладке «Network Configuration» настраиваем сетевые интерфейсы (Ethernet, TokenRing, Adsl, ISDN), вводим IP-адрес, Bitcount (битовую маску сети, например, 255.255.255.0 – 24) и вручную выбираем драйвер сетевой карты из списка. На первом сетевом интерфейсе указываются параметры внешней сети, на втором внутренняя сеть и остальные DMZ. И в «Global Setting» вводим name (имя компьютера), Getaway admin IP (IP-адрес внутренней сети, с которой будет удаленно управляться компьютер) и пароль для доступа.

В окне «Driver Help» можно получить помощь в выборе драйвера к своей сетевой карте. Надо отметить, что если вы неправильно укажете драйвер, то установка продолжена не будет. На этом все. После окончания процесса копирования компьютер перезагружаем.

Последующая настройка

При необходимости обновить систему, монтируем CD-ROM с дистрибутивом.

#mount /dev/hdd /mnt/cdrom

Заходим в каталог update cd /mnt/cdrom/update и вводим ./install.sh, после чего следуем за инструкциями на экране. После чего перезагружаем систему.

Последующее конфигурирование возможно проводить двумя способами (не считая непосредственного редактирования конфигурационных файлов). Первый, находясь в системе, при помощи скрипта conf.sh, который лежит в /opt/securepoint3.0/bin (рис. 1). Но более удобно и наглядно особенно для новичков будет настройка при помощи клиента Securepoint Security Manager, работающего под управлением Windows 98, NT, XP и 2000. Ставим программу, как обычно нажав setup.exe, после чего в меню «Пуск» появятся еще два приложения: сам Securepoint Security Manager и Bitcount calculator, предназначенный для перерасчета маски сети в битовую маску и наоборот. Запускаем (рис. 2).

Рисунок 1

Рисунок 2

Вводим пароль для доступа, выбираем из выпадающего списка нужный сервер, если список пустой, то вводим атрибуты серверов (имя, IP-адрес, порт по умолчанию – 11112), логин и пароль для первого доступа admin/ admin. Обратите внимание на возможность работы без подключения к серверу, что очень удобно и безопасно, для этого устанавливаем галочку напротив «offline mode». Появляется главное окно утилиты (рис. 3).

Рисунок 3

Для облегчения настройки разработчиками подготовлено 6 конфигурационных файлов beginner1[-6].isf, которые можно найти в подкаталоге samples дистрибутива программы (в documents найдете документацию по дистрибутиву и whitepapers):

• Easy Internet configuration – beginner1.isf.
• Static NAT configuration with web server in DMZ1 – beginner2.isf.
• Proxy server configuration – beginner3.isf.
• VPN PPTP server / roadwarrior configuration – beginner4.isf.
• VPN IPSec server / roadwarrior configuration – beginner5.isf.
• AntiVir virus scanner configuration – beginner6.isf.

Выбираем близкий по назначению и открываем через File – Open пароль для доступа test. Теперь приводим к своим данным: изменяем IP-адреса на используемые, добавляем хосты, сети и свои правила. Все действо происходит в довольно понятных диалогах (рис. 4), и, зная необходимые параметры, настроить сеть можно без проблем. Так, в пункте Modify изменяем правила настройки firewall и в Network Topology просматриваем все известные компьютеры (рис. 5), выбрав Options, получаем возможность настроить сам сервер (рис. 6). В меню «Reports» доступно несколько пунктов, позволяющих автоматически проанализировать системные и squid лог-файлы, получить информацию о трафике и протестировать соединение. Программа будет работать в течение 30 дней, далее необходимо зарегистрироваться на http://register.securepoint.cc, как и другие утилиты под Windows-систему.

Рисунок 4

Рисунок 5

Рисунок 6

Кратко о настройке других приложений

Все дополнительные программы, выбранные при установке системы в пункте «Default Configuration», находятся в каталоге /opt и требуют отдельного вмешательства для своего запуска. Так, 30-дневная демоверсия InterScan VirusWall System, кроме возможности по защите от вирусов и другого злонамеренного кода, просматривает SMTP-, HTTP- и FTP-трафик. И дополнительно включает, кроме всего прочего, и eManager, представляющий собой плагин для отфильтровки спама и контекстные фильтры, позволяющие блокировать нежелательный трафик, обеспечивая таким образом возможность защитить интеллектуальную собственность компании и конфиденциальную информацию. Для установки заходим в /opt/trendmicro и запускаем ./isinst, после чего следуем за инструкциями на экране, все настройки расписаны в файле readme_linux.txt. Настроить затем его можно при помощи веб-интерфейса.

В /opt/avmailgate-2.0.0.6-Linux-glibc найдете AntiVir Mail-Gate, которую также необходимо установить, запустив скрипт avinstall.pl. Поддерживается сканирование email, http, ftp и файлов. Антивирус совместим со многими Mail Transport Agents (MTA) вроде sendmail, postfix, qmail, exim. Работа идет по принципу промежуточного накопления, когда программа аvgated получает почту и хранит ее в промежуточном каталоге, а avgatefwd просматривает файлы, и если не находит в них ничего подозрительного, то переправляет файл дальше. Если же будет найден вирус, то будет отправлено сообщение по адресу, указанному в файле /opt/avmailgate-2.0.0.6-Linux-glibc/avmailgate/etc/antivir.conf. Для частных пользователей лицензия бесплатна, но ее необходимо обновлять раз в год, и модификации доступны реже, чем для платных пользователей.

И наконец система Securepoint Intrusion Detection System, позволяющая просматривать трафик, приходящий из внешний сети, а также установить датчики внутри всех контролируемых сетей. К использованию предлагаются коммерческий Nuzzler Server Edition, стоящий 99 евро, и свободный Basic Edition, для активации которого достаточно получить у компании ключ.

Nuzzler может обнаруживать возможные атаки, вирусы, trojans и т. п. Основная постановка включает более чем 1500 правил для различных категорий, к которым вы можете сами прибавлять новые правила и изменять старые, имеет интегрированную sniffer-систему, показывающую в реальном времени каждый блок данных (TCP, UDP и ICMP), не сохраняя его в журнал.

Вот в принципе и все. В документации все подробно расписано. Вывод, я думаю, очевиден. Securepoint представляет собой удобное и законченное решение, позволяющее легко создавать сети любых конфигураций и следить за их безопасностью. Наличие же некотрых необязательных платных составляющих только добавляет плюсов к имиджу дистрибутива.

Комментарии могут оставлять только зарегистрированные пользователи