- Главная
- Блог
- Администрирование
- Настройка защиты межсетевым экраном IDECO UTM
Настройка защиты межсетевым экраном IDECO UTM
95% угроз поступает из сети Интернет, поэтому настройка межсетевого экрана является критически важной для защиты вашей сети. Поэтому сегодня мы рассмотрим настройку сервера с программным межсетевым экраном Ideco UTM, который обладает мощным модулем контентной фильтрации для защиты от веб-угроз и антивирусной проверкой трафика.
⇓ Запись урока на YouTuBe ⇓
Изначально хотелось бы сказать, что разработчики данного решения позаботились о тестировании безопасности и создали сервис http://security.ideco.ru благодаря которому вы можете проверить насколько эффективна используемая вами система защиты.
В конечном итоге мы: поднимем виртуальный сервер IDECO UTM и интегрируем его с Active Directory, в результате чего пользователи домена будут получать доступ в интернет через сетевой экран. А уже через веб-интерфейс мы сможем мониторить всю сетевую активность и настраивать различные правила фильтрации.
Скачать дистрибутив IDECO UTM
Для начала нам потребуется скачать дистрибутив программы на сайте разработчиков https://utm.ideco.ru Кстати, вот эта анимация предельно просто и понятно объясняет суть работы программы, защита сети от внешних угроз, и блокировка трафика от посещения не связанных с работой сайтов.
Выбираем ссылку «Скачать» \ Заполняем форму регистрации \ Получаем доступ к личному кабинету на сайте, а уже оттуда загружаем дистрибутив + там же мы получаем ключ активации на 30 дней или до 40 активных пользователей.
Системные требования
Стоит учесть определенные системные требования:
- Операционная система: Linux Centos 6, 64 bit, так что при создании виртуальной машины нужно будет указать данный тип ОС.
- HDD: 64Гб и более
- ОЗУ: 4 Гб минимум, но желательно 8 Гб, чтобы система работала наиболее эффективно
- 2 сетевые карты: локальная сеть и интернет
Установка межсетевого экрана IDECO UTM
Процесс установки довольно простой, поэтому я его покажу на скриншотах + на эту тему есть подробное руководство в справочном центре (ссылка в описании)
Монтируем образ \ Выбираем пункт Установка \ Указываем часовой пояс и текущее время, важно установить правильно, для корректной работы \ Выбираем интерфейс локальной сети \ Назначаем IP и маску \ Перезагружаем \ Задаем пароль для root пользователя \ Попадаем в основное меню сервера.
Но, работать мы с ним будем через веб-интерфейс, поэтому заходим на какую-нибудь рабочую станцию в локальной сети и в браузере вводим IP адрес сервера IDECO UTM. Стоит учесть, что браузеры internet Explorer и Microsoft Edge не поддерживаются
Вводим логин и пароль по умолчанию administrator servicemode и появляется окно с первоначальными настройками.
Смена пароля администратора
Сменим стандартный пароль администратора на свой (Правила доступа \ Администратры \ Администратор \ Управление \ Замок (сменить пароль) \ Новый пароль \ Сохранить)
Настройка внешнего интерфейса
Тут нам потребуется настроить интерфейс, через который будем выходить в интернет (Сервисы \ Интерфейсы \ Свободные интерфейсы \ Настроить \ Роль: Внешний, Основной \ Название: Интернет \ Автоматическая конфигурация через DHCP, так как в моем случае я получаю интернет через коммутатор, можете указать вручную, если он у вас статический \ Сохранить \ Применить конфигурацию \ Перезагрузка \ Сервисы, проверяем что настройки корректны)
Активация сервера
Теперь активируем наш сервер, ключом, который генерируется в личном кабинете, и тут есть 2 варианта: если вы тестируете в сети где более 40 компьютеров будут подключаться к серверу, то выбираем лицензию demo, если менее, то можно лицензию SMB, она уже не имеет ограничения по времени, лишь по количеству рабочих станций. Подробности так же в личном кабинете (Перейти на страницу лицензии \ Ввести токен сервера)
Если у вас возникают какие-то проблемы или вопросы, то здесь есть подробная инструкция по каждому разделу программы (Документация)
Настройка авторизации пользователей
IDECO UTM не выпустит ни одного пользователя в интернет, пока он не будет авторизован на UTM сервере. Так как в моей ситуации сервер находится в доменной сети, то я буду авторизовать пользователей через Active Directory, если у вас не доменная сеть, то можно создать пользователей вручную. Как это сделать есть текстовая и видео инструкции.
Ввод сервера в домен
Для интеграции с Active Directory необходимо ввести сервер IDECO UTM в домен, из которого мы будем импортировать пользователей (Сервисы \ Active Directory \ Добавить домен \ Имя домена: office.loc \ DNS сервер домена \ Имя сервера IDECO UTM \ логин и пароль учетки имеющей права на присоединение компьютеров к домену \ Присоединить к домену \ Авторизация по логам: Разрешить)
Импорт пользователей из Active Directory
Теперь мы импортируем пользователей из активного каталога (Пользователи \ Добавить группу: AD \ Active Directory \ office.loc \ Группа безопасности AD \ Пользователи домена \ Сохранить). Видим, что все пользователи домена были импортированы. Каждый 15 минут сервер будет автоматически синхронизировать пользователей, так что нет необходимости повторять данную процедуру в дальнейшем.
Авторизация пользователей
Для наиболее быстрой и прозрачной авторизации пользователей настроим авторизацию по логам безопасности контроллера, причем данный функционал является уникальным среди российских решений:
- Разрешить правило брандмауэра Удаленное управление журналом событий RPC (Панель управления \ Брандмауэр \ Дополнительные параметры \ Правила входящих подключений \ Удаленное управление журналом событий RPC \ ПКМ \ Включить)
- Добавить сервер UTM в группу Читатели журнала событий (Диспетчер сервера \ Средства \ Пользователи и компьютеры AD \ Компьютеры \ idecoutm \ Член группы \ Добавить \ Читатели журнала событий)
- Перезапустим службу авторизации по логам (IDECO UTM \ Сервисы \ Active Directory \ Авторизация по логам \ Убрать и поставить галочку: Разрешить)
- Так как у меня раньше компьютеры выходили в интернет через контроллер домена, то нужно изменить шлюз в настройках сетевых подключений компьютеров, если у вас все раздается через DHCP, то изменим запись основного шлюза (Диспетчер серверов \ Средства \ DHCP \ server \ ipv4 \ Область \ Параметры области \ Маршрутизатор \ 192.168.0.22 \ Добавить \ Старый удалить \ Применить)
Тестирование работы межсетевого экрана
Запускаем рабочие станции, если они уже работали, то нужно перезагрузить, чтобы применились настройки DHCP сервера. Проверяем изменился ли адрес шлюза по умолчанию на адрес сервера UTM. Выполняем вход под разными учетными записями и попробуем выйти в интернет.
В разделе мониторинг, мы видим, какие пользователи у нас сейчас вышли в интернет, через отчеты можем посмотреть где пользователи «гуляли».
Допустим мы видим, что пользователь заходил на сайт одноклассники (m.ok.ru). Давайте заблокируем доступ к этому сайту
Блокировка доступа к ресурсам
Создадим правило контент фильтра (Правила доступа \ Контент фильтр \ Правила \ Черный список \ Редактировать \ Категории сайтов \ Социальные сети \ Сохранить) Пробуем зайти в одноклассники через компьютер пользователя и у нас выдается «Доступ к ресурсу заблокирован»
Если у вас есть какой-то сайт, на который вы не хотите, чтобы пользователи заходили, но его нет в запрещенных категориях, можно добавить его в черный список вручную (Пользователи и категории \ Черный список \ Редактировать \ URL *sys-team-admin.ru \ + \ Сохранить)
Другие функции программы IDECO UTM
- Контроль приложений - можно запрещать доступ на уровне приложений TOR, TeamViewer
- Ограничивать скорость интернета - чтобы пользователи не перетягивали на себя весь трафик
- Анализ веб-трафика антивирусными решениями
- Система предотвращения вторжений злоумышленниками
- Ограничение квотами трафика и многое другое
Через тот же сервис security.ideco.ru можете проверить, на сколько у вас изменилась ситуация по безопасности, после внедрения IDECO UTM
Благодаря IDECO UTM вы можете мониторить все, что у вас происходит при взаимодействии с внешним миром. Причем функционал позволяет создать уникальную конфигурацию, позволяющую удовлетворить ваши потребности.
Кроме того, сервисом предоставляются как текстовые, так и видео инструкции.