Многие компании в настоящее время находятся в поиске отечественного решения для защиты периметра сети и фильтрации интернет-трафика. Замена в короткие сроки требуется Next Generation Firewall, NGFW и другим зарубежным межсетевым экранам, которые ранее занимали существенную долю российского рынка. Одна из возможных альтернатив – Ideco UTM.
Этот полностью отечественный инструмент создан компанией Айдеко, основанной в Екатеринбурге в 2005 году. Он имеет весь необходимый современному решению для защиты сети функционал:
- обеспечивает глубокий анализ сетевого трафика;
- фильтрует контент и проверяет его на вирусы;
- контролирует работу приложений;
- предотвращает вторжения;
- включает VPN с функцией удаленного доступа.
Как работает Ideco UTM
Продукт версии 13.3 доступен к установке на сервер или гипервизор пользователя. При этом решение может работать со следующими гипервизорами:
- Vmware;
- Microsoft Hyper-V;
- VirtualBox;
- KVM;
- Citrix XenServer.
Недавно вышел релиз Ideco UTM 13.3. В нем сохранены все базовые функции. Стандартные правила работы с межсетевым экраном могут настраиваться, чтобы оптимально соответствовать потребностям пользователя. Так, можно задать свои правила для фильтрации трафика между сетями, направления входящего трафика на интерфейсы сервера, трансляции сетевых адресов и других функций. Весь контент в корпоративной сети проходит антивирусную проверку с использованием решения от Лаборатории Касперского.
Функция фильтрации контента реализована путем наличия списков запрещенных ресурсов, которые составляет администратор системы. Ресурсы в них можно добавить или удалить в любой момент. Для удобства работы списки категоризируются, что позволяет быстро проверить наличие в них какого-либо сайта.
В общей сложности пользователям доступны 145 категорий сайтов. Настроить сотрудников на рабочий лад и повысить безопасность системы поможет запрет на использование онлайн-игр, торрентов, а также криптомайнеров.
Когда пользователь запрашивает веб-ресурс, система сопоставляет его адрес со списками до первого совпадения. При желании блокировку можно сделать частичной, оставив ресурс доступным лишь для определенной категории пользователей.
Заданные правила также определяют и порядок системы предотвращения вторжений. Она способна выявлять и блокировать:
- трояны;
- шпионские программы;
- торрент-трекеры;
- анонимайзеры;
- сети TOR;
- другие потенциальные и реальные угрозы.
Эта часть работы системы тоже отличается максимальной гибкостью и подлежит настройке. При необходимости узлы, которые не должны анализироваться на вторжения, можно исключить из очереди.
Сетевой трафик можно не только ограничивать путем блокировки ресурсов, но также лимитировать его для конкретных пользователей или групп. Эти настройки также гибкие — можно ограничить трафик на постоянной основе или только на определенное время.
Авторизация в Ideco UTM
В качестве опций авторизации в Ideco UTM доступны следующие варианты:
- IP-адрес хоста;
- MAC-адрес;
- протоколы VPN;
- страница авторизации в браузере;
- программа Ideco Agent.
Каждой пользователь может авторизоваться в Ideco UTM с трех разных адресов. Авторизация осуществляется на основе IP-адреса хоста. Еще одна опция появилась сравнительно недавно — только в 12-й версии. Это авторизация по MAC-адресу. Одновременно с ней стал доступен и третий вариант, который позволяет скомбинировать для авторизации MAC и IP-адреса пользователя.
Если сотрудник входит в систему через VPN, для его авторизации доступны протоколы:
- IKEv2/Ipsec;
- SSTP;
- L2TP/Ipsec;
- PPTP.
Авторизацией через VPN удобно пользоваться в том случае, если выполняется подключение к корпоративной сети за пределами офиса. Подключаясь по VPN, пользователь может безопасно работать в сети из любой точки мира.
Преимущества Ideco UTM
К числу важных преимуществ использования Ideco UTM относятся:
- простота установки, настройки и эксплуатации «коробочного» продукта;
- постоянно обновляемая база данных, в которой к настоящему моменту уже находятся 500 миллионов URL-адресов;
- гибкие опции настройки системы под потребности конкретной компании;
- удобная интеграция и поддержка разнообразных гипервизоров и систем мониторинга;
- разнообразные варианты коммуникаций с техподдержкой (e-mail, телефон, чат на сайте, интерфейс программы);
- наличие сертификации ФСТЭК и всей необходимой документации.
Технические требования для установки Ideco UTM
Чтобы установить данный шлюз безопасности, не нужно предварительно ставить определенную операционную систему или дополнительное ПО. Ideco UTM будет работать с тем, что есть. К серверу могут подключаться устройства пользователей на ОС Windows, Linux или Mac OS X. Если речь идет о мобильных устройствах, то поддерживаются также Android и iOS. Установка выполняется на выделенный сервер с автоматическим созданием файловой системы для хранения всех необходимые компонентов.
Единственным требованием к платформе для работы Ideco UTM является поддержка Unified Extensible Firmware Interface (UEFI). Для корректной работы также потребуется от 8 Гб оперативной памяти. При этом если в сети, которую будет контролировать Ideco UTM, более 75 пользователей, требуемый объем увеличивается до 16 Гб.
Данные, которые собирает инструмент, могут храниться на жестком диске или накопителе SSD. Их объем должен в любом случае должен составлять не менее 64 Гб. Если планируется использовать в работе Ideco UTM почтовый сервер, потребуется дополнительный жесткий диск или SSD, отвечающие тем же требованиям.
Чтобы работать с сетью, инструмент использует сетевые карты или порты. Решение совместимо с картами на чипах Intel, Broadcom, Realtek, D-Link и т. п. Рекомендованными считаются только первые два, но работа со многими другими также не вызовет сложностей.
Лицензия и стоимость Ideco UTM
Чтобы определиться с целесообразностью использования данного шлюза безопасности, на сайте компании доступна демо-версия. Получить доступ к ней можно полностью в онлайн-режиме, заполнив форму. Бесплатная версия позволяет авторизовать одновременно до 20 пользователей.
Если в результате использования демо-версии оформилось решение перейти к постоянной, необходимо купить лицензию. Она является бессрочной для права использования самого ПО. При этом техническая поддержка, доступ к обновлениям, расширенный контент-фильтр будут доступны покупателю в течение одного года.
Стоимость лицензии определяется исходя из количества пользователей в сети, которую Ideco UTM предстоит защищать. Возможна покупка на 25+ пользователей (37500 рублей на год на момент публикации). Далее действует гибкое ценообразование: чем больше пользователей, тем дешевле будет покупка лицензии на одного человека.
В лицензию Ideco UTM в ее базовом варианте не входят модули от Лаборатории Касперского, которые выполняют функции антивирусной проверки контента. Они приобретаются отдельно. Стоимость модуля также определяется по количеству пользователей в сети.
Выводы
Ideco UTM — вполне достойная альтернатива ушедшим с российского рынка западным решениям. В инструменте реализованы все основные функции защиты корпоративной сети и фильтрации контента. Благодаря гибким опциям настройки правил можно дифференцировать их по группам сайтов и даже конкретным пользователям.
Межсетевой экран нетребователен к технической стороне его установки. Не потребуется использование дополнительного ПО, запросы по объему оперативной памяти при небольшом количестве пользователей также будут невелики. Также есть железные решения, которые позволяют решить вопрос с отсутствием серверов для установки.
Таким образом, Ideco UTM видится оптимальным решением для срочного заполнения образовавшихся брешей в безопасности. Благодаря простоте и скорости установки коробочного решения и удобной техподдержке его можно отнести к вариантам «бери и делай».
Скачать и протестировать Ideco UTM: https://clck.ru/32Bsfh
Совместимость
Windows XP, Windows 7, Windows 8, Windows 10
Сайт
www.ideco-software.ru
Описание
Ideco Internet Control Server — это программа обеспечивает персональный доступ в Интернет каждому сотруднику предприятия. Ideco ICS устанавливается на границе между локальной сетью и Интернет. Позволяет контролировать доступ в Интернет, вести учет трафика и посещений, планировать и ограничивать расходы. Ideco ICS защищает компьютеры пользователей от внешних угроз, обеспечивает безопасное подключение удаленных пользователей и подразделений. Ideco ICS – самодостаточный продукт на основе ядра Linux , с установленными и настроенными компонентами. Система легко устанавливается, управляется через простой графический интерфейс и не требует квалифицированного администратора. Контроль доступа Персональный доступ в Интернет для каждого сотрудника. Доступ в Интернет обеспечивается с любого компьютера локальной сети, достаточно ввести свой логин и пароль. Контроль доступа к ресурсам Интернет, вся информация о действиях пользователя сохраняется.
Возможность иерархической группировки пользователей идеально подходит к принятым структурным единицам: отделы, подразделения, офисы. Назначение ответственных лиц для управления этими группами. Учет, планирование и ограничение расходов Планирование и ограничение расходов по отделам и сотрудникам. Учет трафика по отделам и персонально по сотрудникам, а не только по компьютерам, как это обычно принято. Статистика посещения ресурсов Интернет в Мб и денежном эквиваленте. Подсчет статистики в реальном времени, автоматическое предупреждение и отключение пользователя при превышении лимита. Защита и безопасность Защита клиентских компьютеров от атак из Интернет с использованием технологий NAT и встроенного Firewall. Защита от сканеров сети и блокирование чрезмерной активности. Защищенный прямой канал между сервером и клиентом по технологии VPN – защита от прослушивания трафика и подстановки IP-адреса. Каждому пользователю назначается личный IP-адрес. Возможность удаленного защищенного доступа сотрудников к сети предприятия.
Версии
Если у вас есть информация о доступных версиях программы, вы можете отправить ее нам.
Во всех продуктах компании Ideco доступ в Интернет возможен только авторизованным пользователям.
Авторизация пользователей на Интернет-шлюзе возможна по IP-адресу, через VPN, PPPoE, веб-авторизация и авторизация через программу IdecoAgent.
Один пользователь соответствует одному логину. Под одним логином выход в интернет нескольких пользователей (компьютеров) невозможен.
Для того чтобы включить тот или иной тип авторизации на сервере необходимо поставить соответствующий крестик в локальном меню:
Меню -> Конфигурирование сервера -> Конфигурирование сети ->
Для того чтобы применить тип авторизации пользователю необходимо выбрать его в ACP Manager:
Рекомендуется создать группу и устанавливать тип авторизации для всей группы, пользователи автоматически унаследуют выбранный тип.
В этой группе нужно создать пользователя, установить лимит, например «-100», или снять ограничение.
Проверить пользователя: правой кнопкой мыши щелкнуть по пользователю выбрать «Проверить».
После авторизации пользователь должен появиться в разделе «[Монитор]«.
На ПК пользователя рекомендуется убрать все настройки прокси в браузере.
При типах авторизации использующих наличие трафика как основание для авторизации (IP, IP+MAC) при автоматическом обновлении ОС (Windows) или прикладных программ будет производится автоматическая авторизация и использование интернета даже тогда, когда пользователя нет за компьютером. Типичные примеры: обновления Windows, антивирусов.
Авторизация по IP
Укажите в свойствах абонента в ACP Manager IP-адрес его компьютера.
Стрелочка справа от поля IP выделяет свободный IP из пула адресов, назначенных клиенту.
На ПК пользователя пропишите IP-адрес из локальной сети и соответствующую маску. В качестве шлюза по-умолчанию и обоих DNS нужно прописать IP-адрес, который прописан на локальной сетевой карте Ideco ACP, например:
Если необходима MAC привязка – укажите MAC-адрес в свойствах пользователя там же в АСР Manager или нажмите кнопку «получить». Если нужно закрепить IP-адрес пользователя в DHCP – тоже сделайте привязку MAC-адреса.
Примечание: Если используется тип лицензии «Concurrent», то, при использовании совместно с IP и других типов авторизации , необходимо выставить в локальной консоли определение ping доступности для авторизации по IP.
Авторизация по VPN (PPTP)
Настройку VPN-соединения можно выполнить «вручную» или «автоматически»:
1. Для автоматической настройки нужно скачать файл с первой страницы ACPа пользователя, адрес по умолчанию «http://10.0.0.1» и запустить этот файл на компьютере пользователя.
При этом будет автоматически настроено VPN-соединение, где в качестве VPN-сервера будет указан локальный адрес Ideco ACP.
2. Для ручной настройки нужно выполнить обычную настройку VPN-соединения в MS Windows. При этом в Windows 2000 и старше достаточно оставить все параметры по умолчанию. Подробнее о настройке VPN-соединения в различных версиях Windows см. ниже.
3. Для серверов под управлением Windows 2000 и 2003 рекомендуется настроить VPN-подключение через службу «Маршрутизация и удаленный доступ».
Замечания:
Следует отметить, что автоматического отключения пользователей по достижении лимита при выбранном типе авторизации «VPN (PPTP)» производиться не будет.
Одновременная авторизация под одним логином с разных адресов невозможна.
Автоматическая настройка VPN-соединения в Windows
В Личном кабинете пользователи могут скачать файл, с помощью которого выполняется автоматическая настройка VPN-соединения для работы с сервером Ideco ACP. Этот файл представляет собой профиль Microsoft Connection Manager.
При изменении с локальной консоли Ideco ACP внутреннего адреса сервера, этот адрес (IP-адрес или доменное имя) будет автоматически изменен и установочный файл будет сгенерирован снова. Таким образом, установочный файл при изменении адреса сервера автоматически изменяется, и соединение всегда настраивается на внутренний адрес сервера.
Использование автоматической настройки позволяет быстро настраивать соединения у пользователей администраторам. А также удобно для настройки соединения самими пользователям: им не нужно запоминать IP-адреса или доменные имена, а также выполнять настройку VPN-соединения с помощью стандартного мастера.
Также, если соединение уже установлено, то при щелчке правой кнопкой мышки по иконке соединения в области задач в выпадающем списке появится ссылка на ACP.
Как уже отмечалось установочный файл представляет собой профиль Microsoft Connection Manager (диспетчер подключений). Диспетчер подключений предоставляет настраиваемый клиент удаленного доступа, который позволяет создавать настраиваемые профили подключения, облегчающие работу пользователей и администраторов. Для создания профилей используется мастер пакета CMAK (Connection Manager Administration Kit — пакет администрирования диспетчера подключений), который входит в поставку серверных ОС Microsoft (Windows 2000/2003). Используя CMAK вы можете создавать собственные файлы настройки соединений. При этом можно задавать свои настройки (адреса для подключения, графические элементы, иконки и другие параметры).
Настройка VPN-соединения в Windows 2000/XP/2003
1. Запустите Мастер новых подключений. Для этого в меню Пуск выберите команду Настройка > Сетевые подключения > Мастер новых подключений.
2. В окне Мастер новых подключений нажмите кнопку Далее.
3. Выберите вариант Подключить к сети на рабочем месте и нажмите Далее.
4. Выберите вариант Подключение к виртуальной частной сети и нажмите Далее.
5. Введите название создаваемого соединения, например, «Мой доступ в Интернет», и нажмите Далее.
6. Если появилось окно Публичная сеть, то по желанию можно указать подключение, которое будет автоматически устанавливаться перед создаваемым VPN соединением. Если предварительного подключения не требуется, то выберите Не набирать номер для предварительного подключения и нажмите Далее.
7. Введите IP-адрес или имя VPN-сервера. В нашем случае это адрес на локальном сетевом интерфейсе сервера Ideco ACP. Адрес можно узнать у вашего системного администратора. Нажмите кнопку Далее.
8. Для удобства можно установить флажок 
Добавить ярлык на рабочий стол. Нажмите кнопку Готово. Настройка соединения закончена.
9. Для установки соединения запустите созданное соединение, введите свой логин и пароль и нажмите кнопку Подключение.
Примечание:
- Для серверов, постоянно подключенных к Internet рекомендуется настроить соединение через службу «маршрутизация и удаленный доступ». Такое соединение наиболее надежно.
- Для подключения по VPN в свойствах соединения не указывайте защищенный адрес сервера (по умолчанию 10.128.0.0). Указывать нужно адрес локального Ethernet интерфейса на сервере Ideco ACP.
Настройка VPN-соединения в Windows 95/98/ME
Обновление системы «удаленного доступа»
Пользователи компьютеров, работающих под управлением Windows 98 или Windows 95, для использования подключений VPN должны установить последнюю версию программы Удаленный доступ к сети. Программу Удаленный доступ к сети можно загрузить в качестве обновления Windows с этой страницы или с веб-узла корпорации Майкрософт http://www.microsoft.com. Для Windows 98 Second Edition нет необходимости устанавливать пакет обновлений, кроме случая, когда не удается установить VPN-соединение.
Важно! Перед загрузкой или установкой обновления проверьте версию операционной системы Windows, установленную на компьютере. Для этого щелкните правой кнопкой мыши значок Мой компьютер и выберите Свойства. После установки обновления выполните требуемую перезагрузку.
Установка VPN-адаптера
Зайдите в Панель управления, запустите Установка и удаление программ, выберите вкладку Установка Windows, выберите пункт Связь, нажмите кнопку Состав. Пометьте галочкой следующие компоненты: Виртуальная частная сеть и Удаленный доступ к сети. Нажмите кнопку ОК. Может потребоваться диск с дистрибутивом Windows. После установки выбранных компонентов, выполните требуемую перезагрузку компьютера.
Настройка соединения
1. Откройте окно Мой компьютер. Откройте Удаленный доступ к сети. Выберите Новое соединение.
2. Если мастер запросит ввести код города или телефонный номер, введите любую цифру в каждое поле и нажмите кнопку Далее. Введите название создаваемого соединения, например, «Мой доступ в Интернет». В качестве модема выберите Microsoft VPN Adapter и нажмите на кнопку Далее.
3. Введите IP-адрес или имя VPN-сервера. В нашем случае это адрес на локальном сетевом интерфейсе сервера Ideco ACP. Адрес можно узнать у вашего системного администратора. Нажмите кнопку Далее.
4. Нажмите кнопку Готово.
5. Войдите в папку Удаленный доступ. Щелкните правой кнопкой мыши по созданному соединению. Выберите в меню пункт Свойства. В появившемся окне выберите вкладку Тип сервера. На вкладке Тип сервера нужно убрать галочки напротив пунктов Войти в сеть, NetBEUI, IPX/SPX-совместимый; установить галочки напротив пунктов: Требуется зашифрованный пароль, Требуется шифрование данных.
6. Установка соединения. Для установки соединения запустите созданное соединение, введите свой логин и пароль и нажмите кнопку Подключиться.
Настройка VPN-соединения в Mac OS X
1. Откройте папку Applications на загрузочном диске с Mac OS X.
2. Запустите файл Internet Connect.
3. В меню File выбрать пункт New VPN Connection.
4. В появившемся диалоговом окне выберите пункт PPTP. Нажмите кнопку Continue.
5. Задайте параметры VPN-соединения:
Server address – введите IP-адрес сервера (по умолчанию «10.0.0.1»)
Account Name – введите логин
Password – введите пароль.
6. В поле Configuration выберите пункт Edit Configurations…
7. В появившемся окне введите имя создаваемой конфигурации и нажмите кнопку Save.
8. В появившемся окне будут показаны введенные ранее настройки VPN-соединения. Нажмите кнопку OK. Это окно закроется. Нажмите кнопку Connect на главном окне.
Настройка VPN-соединения в Linux
Ubuntu (Debian)
Установите из репозиториев пакет pptp-linux и далее из консоли, используя sudo, наберите следующую команду:
sudo pptpsetup —create IDECO —server 10.0.0.1 —username Administrator —password servicemode —start —encrypt
Примечание:
По умолчанию во всех версиях ubuntu соединение должно установиться, если возникают ошибки, проверьте что конфигурационный файл /etc/ppp/options.pptp содержит следующие строки:
refuse-pap
refuse-eap
refuse-chap
refuse-mschap
nobsdcomp
nodeflate
Не забывайте, что инициализация драйвера виртуального устройства для установки туннеля и редактирование конфигурационных файлов в системе производится только с наличием прав администратора системы, то есть с помощью команды sudo.
Mandriva 2007, 2007.1, 2008, 2008.1, 2009
Файл: /etc/ppp/options
lockrefuse-eaprefuse-chaprefuse-mschapnobsdcompnodeflatemppe required,stateless,no40,no56nodetachdebug
Вызывать так:pppd pty «pptp 192.168.2.245 —nolaunchpppd» user «test» password «test» defaultroute
Авторизация по PPPoE
Откройте «Мастер новых подключений» в свойствах «Сетевого окружения». Выберите пункт «Подключить к Интернету», затем «Установить подключение вручную». Далее выберите вариант «Через высокоскоростное подключение, запрашивающее имя пользователя и пароль». Введите произвольное имя поставщика услуг. Введите логин и пароль, выданные администратором.
Авторизация через Ideco Agent
Для пользователей, у которых установлен способ авторизации «IdecoAgent» либо «IdecoAgent+IP» авторизация через программу агент позволит получить доступ в Интернет. Доступ будет обеспечен только в то время, когда пользователь авторизован с помощью этой программы.
Для пользователей с другими видами авторизации, эта программа на процесс авторизации не влияет. В этом случае ее можно использовать для просмотра состояния баланса, для приема сообщений и др.
Для авторизации с помощью программы-агента необходимо с локального веб-сайта загрузить программу авторизации и сохранить ее в произвольный каталог.
На компьютере пользователя в настройках сетевой карты укажите в качестве шлюза и в качестве DNS локальный адрес Ideco ACP. При необходимости нужно разрешить в межсетевом экране порт 800/TCP.
После запуска программы необходимо ввести логин и пароль пользователя. Состояние авторизации отображается иконкой в системном лотке. Возможные состояния:
– Программа не активна
– Идет подключение к серверу.
– Доступ в Интернет разрешен.
– Сработал лимит предупреждения.
– Сработал лимит отключения.
– Произошла ошибка. Доступ в Интернет запрещен.
В контекстном меню иконки доступны следующие пункты:
Пункт менюЗначение
ПодключитьОтображение диалога подключения
ОтключитьОтключиться от сервера
ИнформацияОтобразить информацию о подключении к Интернет – баланс, порог отключении и т.д.
Запускаться при входе в системуУстановить автоматический запуск программы при входе в Windows.
О программеВывод информации о программе авторизации.
Примечание.
1) При использовании Ideco Agent в домене AD рекомендуется расположить IdecoAgent.exe на общем сетевом ресурсе и установить в политике входа в домен запуск приложения IdecoAgent.exe с ключом —domain. Таким образом, запуск агента будет централизован и не потребуется его установка на каждый компьютер.
2) При смене локального адреса Ideco ACP обязательно нужно заново скачивать Ideco Agent с сайта, поскольку локальный адрес сервера встраивается в Агент при скачивании.
3) Для использования Ideco Agent при других типах авторизации для просмотра баланса убедитесь что в тарифе, который назначен пользователю, не стоит галочка «запрещать при превышении баланса» на локальной сети:
Тарифы — Тарифные планы — Нужный вам тариф — Локальная Сеть — Блокировать при превышении лимита.
Важно: При использовании VPN соединения Ideco Agent работает, но его функционал ограничен только просмотром статистики и отображением сообщений. Сам Ideco Agent VPN соединение не поднимает.
Авторизация через веб-интерфейс
Если данный тип авторизации включен в локальном меню, то любой запрос неавторизованного пользователя через браузер будет перенаправляться на страницу авторизации. Авторизоваться сможет только тот пользователь у которого данный тип авторизации выбран в АСР Manager.
Для данного типа авторизации обязательно, чтобы в качестве шлюза и DNS был прописан локальный адрес Ideco ACP и включена опция в меню локальной консоли «Конфигурирование сервера — DNS-сервер — Разрешить доступ к DNS из локальной сети».
Авторизация через RADIUS
Данный тип авторизации характерен в основном для распределённых сетей, когда пользователи авторизуются на Ideco через NAS сервера или маршрутизаторы.
Для его активации необходимо:
1.Включить Radius сервер.
2.Внести NAS-клиентов в список оборудования Ideco АСР.
Как и другие типы авторизации, RADIUS выбирается в ACР Manager в разделе «Пользователи — Информация — Вход по»:
Для корректной работы авторизации через RADIUS рекомендуется проставить следующие опции:
