История
В 2005 году команда студентов и выпускников Уральского федерального университета создает биллинговую систему для университета, написанную на Delphi, а затем коммерческий продукт на ее основе — Ideco ICS (Internet Control Server) 2.5. Помимо программного продукта было выпущено аппаратное решение — сервер с предустановленной системой Ideco ICS 2.5.
В 2011 году вышел Ideco ICS версии 3 и получил сертификат ФСТЭК одним из первых, как полный программный продукт, включающий в себя операционную систему.
В этом же году вышла Ideco ICS 4.0 — многофункциональный интернет-шлюз с DLP, который включал в себя почтовый сервер, Jabber-сервер и т. д.
В 2015 вышел релиз продукта Ideco Selecta — система высокоскоростной контентной фильтрации на новой платформе. Продукт получил сертификацию ФСТЭК по МЭЗ на Ideco ICS 6.
В 2017 году компания выпустила специальную редакцию Ideco SMB — бесплатная версия для среднего и малого бизнеса (до 40 пользователей).
В 2018 году появилось полноценное решение класса NGFW — Ideco UTM, которое включало в себя измененный модуль контент-фильтра, новый модуль фильтрации приложений на основе DPI.
В 2020 году вышла Ideco UTM 8.0, наиболее значимыми нововведениями в которой, являлись возможность маршрутизации по пользователям и группам, и общее ускорение обработки трафика.
В 2021 году вышла Ideco UTM 11.0, появилась поддержка кластера отказоустойчивости, отчётность IPS. Версия сертифицирована ФСТЭК.
В 2022 году выходит Ideco UTM 13.0, среди новых возможностей которой, является поддержка протокола динамической маршрутизации BGP, двухфакторная аутентификация, центральная консоль и улучшение функционала отчётностей.
Интернет-шлюз Ideco ICS получил сертификат ФСТЭК России
Программный комплекс «Межсетевой экран Ideco ICS 3», созданный на основе популярного российского интернет-шлюза Ideco ICS, прошел сертификацию в ФСТЭК России. Напомним, что к 01 июля 2011 г. все информационные системы персональных данных должны быть приведены в соответствие с требованиями ФЗ №152. Одним из обязательных методов защиты от несанкционированного доступа систем обработки конфиденциальной информации или персональных данных является обеспечение безопасного межсетевого взаимодействия.
Сертификат ФСТЭК № 2283 удостоверяет, что ПК МЭ Ideco ICS 3 соответствует требованиям:
— руководящего документа «Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» (Гостехкомиссия России, 1997) — по 4 классу защищенности;
— руководящего документа «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню отсутствия недекларированных возможностей» (Гостехкомиссия России, 1999) — по 4 уровню контроля;
— требованиям технических условий, и может быть использован в составе информационных систем персональных данных до класса защищенности К2 включительно.
ПК МЭ Ideco ICS 3 базируется на Linux-ядре и включает широкий набор сетевых сервисов для решения всех основных задач управления трафиком. ПК МЭ Ideco ICS 3 – это больше, чем просто межсетевой экран. Концепция продукта нацелена на максимальную автоматизацию все рутинных процессов сетевого администрирования из единого командного центра — удобного графического веб-интерфейса. Функциональность сертифицированной версии будет регулярно актуализироваться и расширяться через сервис сертифицированных обновлений.
О компании:
Компания «Айдеко» — российский производитель программных продуктов для построения
сетей и развития сетевых инфраструктур любого уровня сложности, а также решений для Интернет-провайдеров. Флагманский продукт – «Интернет-шлюз Ideco ICS» базируется на Linux-ядре и объединяет в себе около 25 компонентов и служб, которые позволяют решать практически все задачи управления трафиком в корпоративных и ведомственных сетях.
Пользователями Ideco ICS являются около 5000 организаций России и других стран СНГ, в том числе подразделения ГМК «Норильский никель», ОАО «РЖД», ГК «Ростехнологии». Основную долю пользователей Ideco ICS представляют предприятия малого и среднего бизнеса. Применение комплексных решений компании «Айдеко» позволяет заказчикам экономить ИТ-бюджеты и обеспечивать высокие характеристики надежности, защищенности и эффективности сетевых инфраструктур.
4 марта, 2011 — 11:55 (просмотров: 1486) • Связь и телекоммуникации, Мир •
Чтобы добавить пресс-релиз, нужно зарегистрироваться
(c) 2006-2022 Сервис размещения пресс-релизовБесплатный сервис распространения пресс-релизов компаний
Настройка сервера IDECO UTM
Пропингуем сервер IDECO, чтобы убедиться, что он находится в той же сети и виден для других компьютеров (Выполнить \ cmd \ ping 192.168.0.10)
Подключаемся по указанному адресу \ https://192.168.0.10:8443 \ Получить доступ не безопасно, просто браузеру не известен сертификат через который выполняется подключение. При желании, его можно добавить в хранилище сертификатов \ Логин administrator пароль servicemode \ Сервисы \ Сертификаты \
Поменяем пароль по умолчанию на свой (Управление сервером \ Администраторы \ Сменить пароль \ Перелогинимся)
Первым делом у нас выдаются ошибки, связанные с доступов в меню сервера непосредственно на сервере, настройкой сетевой карты, которая смотрит в сеть интернет и лицензией.
- Пароль пользователя root. Входим непосредственно на сервер (ОК \ Установить пароль \ Теперь мы можем получать доступ к меню сервера, тут допустим можно сервер перезагрузить)
- Настроим интернет (Сервисы \ Сетевые интерфейсы \ Сетевые карты, если вы не подключили сетевую карту, то подключите её и перезагрузите сервер IDECO UTM \ Выбираем сетевую карту с состоянием «Не используется» \ Назад \ Добавить \ Внешний Ethernet \ Выбираем внешнюю сетевую карту \ Выбрать \ Автоматическая конфигурация через DHCP, если нужно, можете настроить вручную \ ОК \ Выполняется подключение \ Соединение с интернет установлено)
Чтобы проверить, что сервер действительно имеет доступ в Интернет. В данной версии это можно сделать прям через веб-интерфейс сервера (Управление сервером \ Консоль \ ping my.ideco.ru или 8.8.8.8)
- Настройка лицензии (Главная страница IDECO \ Лицензия \ Сервер не зарегистрирован \ Зарегистрировать \ Входим в личный кабинет, от куда скачивали дистрибутив \ Ideco UTM \ Лицензия \ Зарегистрировать новый сервер \ Сервер зарегистрирован под лицензией enterprise-demo на 40 дней с полным набором функций.
Можно так же потом указать SMB лицензию на 20 пользователей, но там есть существенные ограничения по функционалу.
Active Directory Выключен
Kaspersky Anti-Virus для Web Выключен
Kaspersky Anti-Virus для Mail Выключен
Контроль приложений Выключен
Предотвращение вторжений Выключен
Расширенный контент фильтр Выключен
Причем, обратно уже вернуть полноценную демо версию не получится L Так что будем тестировать enterprise-demo
Основные проблемы сисадминов с интернет-шлюзом
Каждый раз при размещении нового сервера или службы у сисадмина возникает проблема: как «вписать» новую постоянно работающую службу или сервер в уже устоявшуюся сеть.
Как подстроить NAT и другие сетевые службы для ее корректной работы, будет ли данный сервер в AD, могут ли на нем размещаться другие сетевые службы или сервер должен быть выделенным. Это не зависит от способа реализации – это вопрос сетевого планирования.
Основные проблемы при использовании программных шлюзов следующие. В первую очередь это знакомая многим ситуация: старый админ уволился, а новый гений в процессе работы сбил корректно работающие настройки и понятия не имеет, почему ничего не работает, и что же теперь делать. Тяжелый случай – прошлый админ корректно все настроил через фряху, а админ – любитель Windows полез разбираться с печальными для себя и предприятия последствиями. Часто у новичков встречается некорректная настройка фильтров из-за нежелания прочесть мануал и понять, что же там написано. Или просто пользователь поставил программу и понятия не имеет, а что же с ней делать.
В общем, интернет-шлюз – это инструмент, который нужно подбирать в зависимости от решаемых задач, вкусов и компетентности отвечающего за безопасную и бесперебойную работу сети сисадмина. Главное, чтобы сеть работала как часы и выполняла важнейшую возложенную на нее функцию обеспечения коммуникации организации с внешним миром.
Благодарим вас за внимание и ждем ваших комментариев
Тест-драйв
Для тестирования Ideco UTM я развернул программный комплекс на виртуальном сервере и настроил его в качестве шлюза. Чтобы проверить, что система вообще работает, добавляем в «черный список» URL нашего любимого журнала и пробуем открыть его в браузере. Опа, доступ запрещен!
Проверка работоспособности: фильтр контента работает
Пробуем запустить Tor Browser: программа не может установить соединение с Tor-сетью и отваливается по тайм-ауту. Аналогично с TeamViewer: значок статуса связи горит красным, следовательно, контроль приложений также успешно блокирует нежелательное соединение. А вот к Pornhub доступ почему-то есть, несмотря на то что этот сайт, по идее, должен быть заблокирован контент-фильтром. Что ж, оставим настройки файрвола по умолчанию и посмотрим, как у нас обстоят дела с безопасностью.
Для этого я использовал Check Point CheckMe — бесплатный сервис проверки уровня защищенности межсетевого экрана. Достаточно зайти на страничку сервиса, запустить сканирование и дождаться результатов. Служба пытается загрузить на компьютер тестовый файл EICAR, чтобы проверить антивирусную защиту, а также имитирует различные виды атак с использованием уязвимостей ПО, тестирует возможность доступа к вредоносным сайтам, исследует открытые порты. Вот с каким результатом завершился этот тест.
Тест Check Point CheckMe показывает степень защищенности системы
CheckMe показал, что сеть защищена от вредоносного ПО и уязвимостей нулевого дня, но беззащитна перед эксплуатацией уязвимостей браузера и утечками данных. Впрочем, напомню, что в настройках Ideco UTM у меня подключена функция предотвращения вторжений и фактически не настроен брандмауэр. Возможно, с этими двумя модулями степень защищенности была бы намного выше.
Теперь обратимся к альтернативному сканеру HackerWatch. Он ищет открытые порты, которые могут быть потенциально уязвимы к вторжению извне. Результат проверки показан на иллюстрации ниже.
Результат проверки системы сканером HackerWatch
Тест демонстрирует, что сканеру не удалось достучаться до машины и весь подозрительный трафик был заблокирован, даже несмотря на то что мы не занимались настройкой файрвола. Кроме того, существует тест безопасности от самой компании Ideco, который в основном проверяет доступность сайтов из списков контентного фильтра: анонимайзеры, онлайн-казино, порно и так далее. Если фильтры включены и правильно настроены, тест, очевидно, будет успешно пройден. Правда, вопрос о том, насколько серьезное отношение к безопасности имеет блокировка доступа к сайтам определенной тематики, остается открытым.
Необходимый функционал корпоративного интернет-шлюза
Интернет-шлюз организует бесперебойную работу в интернете всех работников фирмы, поэтому прокси-сервер, на базе которого он выполнен, должен обладать достаточным функционалом, удобным интерфейсом и возможностью гибкой настройки сети и прав доступа: VIP-пользователям обеспечить полный доступ к сети, а рядовым отрубить ВКонтакте и любимые форумы
Также важно легко управлять скоростью пользователей, устанавливать приоритеты для различных видов трафика (например, повысить приоритет IP-телефонии для обеспечения качественной связи и понизить для архивов). Не стоит забывать и о поддержке VPN и NAT
Крайне полезна возможность удаленного администрирования, чтобы львиную долю проблем с сетью можно было решать, не выходя из дома.
Встроенный прокси-сервер помогает контролировать и экономить интернет-трафик: он позволяет анализировать запросы пользователей, загружаемые сайты и их элементы и действовать в строгом соответствии с установленными правилами. Обычно от интернет-шлюза требуются следующие функции фильтрации трафика:
- наличие контентной фильтрации,
- возможность фильтрации HTTPS,
- назначение фильтров в зависимости по времени,
- на определенные группы пользователей,
- наличие готовых шаблонов для правил.
Часто используются системы каскадирования прокси, возможность перенаправления трафика разных пользователей на разные вышестоящие прокси, причем с разными способами и типами авторизации.
Отдельно стоит сказать о статистике, которая для интернет-шлюза является не «третьим видом лжи», а важным источником информации о поведении пользователя. Благодаря статистике можно в любое время узнать, кто из пользователей забивает Интернет-канал, на каких ресурсах зависают сотрудники и когда пора блокировать сайты и резать лимит трафика.
Кроме того, интернет-шлюз обеспечивает защиту корпоративной сети от внешних воздействий. Особенно надежная защита важна в случае, когда по тем или иным причинам не только пользователи сидят под Windows, но и сам сервер (не будем разводить холивар на тему, почему под Windows, но практика показывает, так бывает весьма часто). В таком случае антивирус и фаервол необходимы как воздух. Также нужен модуль защиты от фишинга и, главное, прямые руки того, кто все это великолепие настраивает.
Отдельная тема – наличие сертификатов безопасности, которые, во-первых, определенную безопасность гарантируют (абы кому их не выдают), а во-вторых, в случае наличия сертификата ФСТЭК, интернет-шлюз не вызовет подозрения в ходе «всеми горячо любимых» бюрократических проверок организации.
Что такое шлюз безопасности?
Шлюз безопасности – это специализированный сервер, который необходим для защиты сети от нежелательного трафика, оценки уязвимости сети, предотвращения утечки данных и обеспечения контроля доступа сотрудников к корпоративным ресурсам.
Существуют различные вариации шлюзов безопасности, рассчитанные на разное количество сотрудников и различную пропускную способность.
Так, например шлюз безопасности Juniper SRX345-DUAL-AC имеет пропускную способность до 5 Гбит и 800 Мбит IPsec VP и может использоваться в организациях, где к информации имеют доступ даже более 100 сотрудников.
Компания Juniper предлагает различные варианты шлюзов безопасности для больших и маленьких организаций, а также маршрутизаторы, коммутаторы, устройства для беспроводной связи, синхронизации времени, обеспечению контроля и идентификации безопасности.
Корпоративный интернет-шлюз — голова ИТ-инфраструктуры, но в случае любых проблем он мгновенно превращается в другую часть тела… для компании.
Выбор интернет-шлюза зависит от множества обстоятельств: выделенного бюджета, квалификации и пристрастий к аппаратным и программным решениям ответственного за сеть админа, размера сети, необходимости наличия сертификатов и т.д. Наверное, эта статья не для познавших Дао гуру, которые с помощью подручных средств вроде третьего пенька, бубна и какой-то матери играючи могут обеспечить бесперебойный доступ в интернет и контроль трафика для сотен машин. Мы поговорим о вещах более стандартных и приземленных: как выбрать корпоративный интернет-шлюз и что в нем должно быть?
Как выбрать решение для сетевой защиты
Сегодня крайне сложно вступать в споры о том, к какому типу относится тот или иной межсетевой экран. Мы в Cloud Networks считаем, что прежде всего нужно отталкиваться от тех требований, которые необходимы каждому отдельному заказчику.
Поэтому мы уделяем много ресурсов на точный подбор решения и не акцентируем внимание на том, что «хуже», а что «лучше». Главное, чтобы решение справлялось со своими задачами
Если же говорить о замене зарубежного NGFW на отечественное решение, то наш ответ – да, это реально, мы это делаем и это работает.
При выборе NGFW нужно рассматривать функции защиты, встроенные в конкретный межсетевой экран. Существуют как унифицированные решения NGFW для малого и среднего бизнеса, так и те, что включают расширенные функции.
Cloud Networks советует рассмотреть следующие критерии:
- Тип платформы (аппаратное устройство, программное решение или облачное).
- Набор функций (глубокая проверка пакетов, контроль приложений, проверка SSL/SSH, DLP и прочее).
- Производительность (у продукта должна быть высокая пропускная способность, соответствующая заявленной поставщиком).
- Управляемость (у решения должна быть современная удобная и гибкая консоль управления).
- Техническая поддержка.
А также наличие следующих характеристик:
- Интеллектуальная фильтрация URL-адресов.
- Встроенные правила передовой практики.
- Возможности мониторинга туннелей.
- Функционал создания VPN туннелей.
- Проверка почтового трафика.
- Поддержка кластеризации и отказоустойчивости.
- Управление пропускной способностью.
- Проксирование приложений.
- Поддержка политики BYOD.
- Инспектирование SSL-трафика.
- DNS-фильтрация.
- Функция балансировщика нагрузки.
- Управление мобильными устройствами.
- Защита от отказа в обслуживании (DoS).
- Защита от уязвимостей.
- Антишпионское ПО, вредоносное ПО, сканирование программ-вымогателей.
- Предотвращение потери данных (DLP) и многое другое.
Авторизация через веб-интерфейс
Включим функцию авторизации через веб (Сервисы \ Авторизация пользователей \ Включить: Веб-авторизация \ Авторизация через веб-интерфейс \ Тайм-аут разавторизации: 15 минут, т.е. если пользователь не пользуется интернетом в течении 15 минут, то при подключении будет вновь запрашиваться логин и пароль \ Сохранить)
Создадим пользователя, под которым будет авторизоваться сотрудник через браузер (Пользователи \ Добавить \ Имя пользователя: Прорабская; Логин: prorab; Пароль \ Сохранить)
Настраиваем клиентский компьютер (Сетевые настройки \ Свойства \ IPv4 \ Шлюз: 192.168.0.10 \ ДНС: 192.168.0.10)
Заходим в браузер и пытаемся зайти на сайт
Авторизация в Ideco UTM
В качестве опций авторизации в Ideco UTM доступны следующие варианты:
- IP-адрес хоста;
- MAC-адрес;
- протоколы VPN;
- страница авторизации в браузере;
- программа Ideco Agent.
Каждой пользователь может авторизоваться в Ideco UTM с трех разных адресов. Авторизация осуществляется на основе IP-адреса хоста. Еще одна опция появилась сравнительно недавно — только в 12-й версии. Это авторизация по MAC-адресу. Одновременно с ней стал доступен и третий вариант, который позволяет скомбинировать для авторизации MAC и IP-адреса пользователя.
Если сотрудник входит в систему через VPN, для его авторизации доступны протоколы:
- IKEv2/Ipsec;
- SSTP;
- L2TP/Ipsec;
- PPTP.
Авторизацией через VPN удобно пользоваться в том случае, если выполняется подключение к корпоративной сети за пределами офиса. Подключаясь по VPN, пользователь может безопасно работать в сети из любой точки мира.
Технические требования для установки Ideco UTM
Чтобы установить данный шлюз безопасности, не нужно предварительно ставить определенную операционную систему или дополнительное ПО. Ideco UTM будет работать с тем, что есть. К серверу могут подключаться устройства пользователей на ОС Windows, Linux или Mac OS X. Если речь идет о мобильных устройствах, то поддерживаются также Android и iOS. Установка выполняется на выделенный сервер с автоматическим созданием файловой системы для хранения всех необходимые компонентов.
Единственным требованием к платформе для работы Ideco UTM является поддержка Unified Extensible Firmware Interface (UEFI). Для корректной работы также потребуется от 8 Гб оперативной памяти. При этом если в сети, которую будет контролировать Ideco UTM, более 75 пользователей, требуемый объем увеличивается до 16 Гб.
Данные, которые собирает инструмент, могут храниться на жестком диске или накопителе SSD. Их объем должен в любом случае должен составлять не менее 64 Гб. Если планируется использовать в работе Ideco UTM почтовый сервер, потребуется дополнительный жесткий диск или SSD, отвечающие тем же требованиям.
Чтобы работать с сетью, инструмент использует сетевые карты или порты. Решение совместимо с картами на чипах Intel, Broadcom, Realtek, D-Link и т. п. Рекомендованными считаются только первые два, но работа со многими другими также не вызовет сложностей.
Тестирование релизов и надежность
Частота выхода новых релизов, само собой, предъявляет повышенные требования к стабильности работы продукта. Технология разработки и тестирования версий Ideco UTM постоянно совершенствуется, и важным компонентом становится трехэтапное тестирование.
Больше 800 проверок каждой версии обеспечиваются автоматическими тестами, в том числе и нагрузочными. Это тестирование позволяет добиться устойчивой работоспособности версии в большинстве стандартных кейсов.
Для релизного тестирования дополнительно проверяются еще почти 500 ручных тест-кейсов. Этот этап включает тестирование уже в более сложном окружении, в его рамках проверяется корректная работа Ideco UTM с почтовыми и веб-серверами, разнообразными контроллерами доменов и другими сервисами.
Количество автоматических и ручных тестов, по заверениям разработчиков, в будущем будет расти, чтобы максимально повысить стабильность выпускаемого продукта формальными методами.
И финальным этапом является бета-тестирование участниками сообщества «Айдеко», включавшего более 500 реальных серверов на момент подготовки 13-й версии. Это позволяет проверить стабильность работы в реальной инфраструктуре на самых разных комбинациях железа, системного и прикладного софта, а также в условиях многообразия трафика – как по типу, так и по объему.
>
Модель Ideco LX предназначена для предприятий малого и среднего бизнеса численностью от 300 до 3000 пользователей Интернет. В качестве аппаратной платформы данной линейки используются серверы Depo с высокой производительностью и отказоустойчивостью.
Серверы серии LX обладают повышенным уровнем надёжности, производительности и управляемости в сочетании с возможностью наращивания ресурсов вычислительной системы.
Характеристики аппаратной платформы:
Процессор: | Intel Xeon E3-1275 v6 |
Память: | 32 GB DDR4-2133 UDIMM ECC |
Жесткий диск: | 1000 GB SATA hard drive (7200rpm) |
Сетевой адаптер: | 8x Gigabit LAN ports Intel i210 |
Источник питания: | 300 Вт |
Форм-фактор: | 1U |
Размеры: | 504х43х437 |
Масса: | 15 кг |
Гарантия: | 1 год |
Ideco LX-Cert | |
---|---|
Модель | Купить |
Ideco LX150-Cert | Купить |
Ideco LX200-Cert | Купить |
Ideco LX250-Cert | Купить |
Ideco LX500-Cert | Купить |
Ideco LX1000-Cert | Купить |
Выводы
Программный комплекс Ideco UTM показался мне довольно интересным решением по двум причинам. Прежде всего — из-за концепции «все в одном»: не нужно устанавливать и настраивать кучу разношерстных модулей, все самые необходимые инструменты здесь собраны воедино. Второй плюс — удобство администрирования: веб-панель довольно наглядная и простая даже для новичков, ключевые настройки снабжены подсказками, причем на русском языке. Ну а наличие бесплатной версии Ideco UTM для SMB позволяет развернуть шлюз безопасности в сетях с Linux-сервером и пользоваться всеми преимуществами коммерческого релиза без каких-либо ограничений. Демонстрируемый Ideco UTM уровень защиты вполне приемлем для программных комплексов такого уровня, но в целом зависит от настроек. А поскольку настроек много, можно превратить шлюз фактически во что угодно: в прокси-сервер, VPN-сервер, файрвол, средство офисного контроля, балансировки и мониторинга трафика, даже в веб-антивирус.
Тех, кто раньше уже имел дело с Ideco UTM, наверняка порадуют новинки восьмой версии: обновленный интерфейс администратора, новая реализация блокировки и резервирования каналов, построение маршрутов с указанием объектов по источнику, возможность менять правила файрвола на лету без разрыва текущих соединений. Ну и появившийся в веб-интерфейсе терминал добавляет в арсенал админа еще один полезный инструмент. Дополнительно радует возможность обратится в тех-поддержку с помощью чата прямо из веб-интерфейса Ideco UTM, что уже привычно для пользователей, но среди межсетевых экранов реализовано пока только у Айдеко.