Пк интернет-шлюз ideco ics 6 фстэк

История

В 2005 году команда студентов и выпускников Уральского федерального университета создает биллинговую систему для университета, написанную на Delphi, а затем коммерческий продукт на ее основе — Ideco ICS (Internet Control Server) 2.5. Помимо программного продукта было выпущено аппаратное решение — сервер с предустановленной системой Ideco ICS 2.5.

В 2011 году вышел Ideco ICS версии 3 и получил сертификат ФСТЭК одним из первых, как полный программный продукт, включающий в себя операционную систему.

В этом же году вышла Ideco ICS 4.0 — многофункциональный интернет-шлюз с DLP, который включал в себя почтовый сервер, Jabber-сервер и т. д.

В 2015 вышел релиз продукта Ideco Selecta — система высокоскоростной контентной фильтрации на новой платформе. Продукт получил сертификацию ФСТЭК по МЭЗ на Ideco ICS 6.

В 2017 году компания выпустила специальную редакцию Ideco SMB — бесплатная версия для среднего и малого бизнеса (до 40 пользователей).

В 2018 году появилось полноценное решение класса NGFW — Ideco UTM, которое включало в себя измененный модуль контент-фильтра, новый модуль фильтрации приложений на основе DPI.

В 2020 году вышла Ideco UTM 8.0, наиболее значимыми нововведениями в которой, являлись возможность маршрутизации по пользователям и группам, и общее ускорение обработки трафика.

В 2021 году вышла Ideco UTM 11.0, появилась поддержка кластера отказоустойчивости, отчётность IPS. Версия сертифицирована ФСТЭК.

В 2022 году выходит Ideco UTM 13.0, среди новых возможностей которой, является поддержка протокола динамической маршрутизации BGP, двухфакторная аутентификация, центральная консоль и улучшение функционала отчётностей.

Интернет-шлюз Ideco ICS получил сертификат ФСТЭК России

Программный комплекс «Межсетевой экран Ideco ICS 3», созданный на основе популярного российского интернет-шлюза Ideco ICS, прошел сертификацию в ФСТЭК России. Напомним, что к 01 июля 2011 г. все информационные системы персональных данных должны быть приведены в соответствие с требованиями ФЗ №152. Одним из обязательных методов защиты от несанкционированного доступа систем обработки конфиденциальной информации или персональных данных является обеспечение безопасного межсетевого взаимодействия.

Сертификат ФСТЭК № 2283 удостоверяет, что ПК МЭ Ideco ICS 3 соответствует требованиям:
— руководящего документа «Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» (Гостехкомиссия России, 1997) — по 4 классу защищенности;
— руководящего документа «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню отсутствия недекларированных возможностей» (Гостехкомиссия России, 1999) — по 4 уровню контроля;
— требованиям технических условий, и может быть использован в составе информационных систем персональных данных до класса защищенности К2 включительно.

ПК МЭ Ideco ICS 3 базируется на Linux-ядре и включает широкий набор сетевых сервисов для решения всех основных задач управления трафиком. ПК МЭ Ideco ICS 3 – это больше, чем просто межсетевой экран. Концепция продукта нацелена на максимальную автоматизацию все рутинных процессов сетевого администрирования из единого командного центра — удобного графического веб-интерфейса. Функциональность сертифицированной версии будет регулярно актуализироваться и расширяться через сервис сертифицированных обновлений.

О компании:
Компания «Айдеко» — российский производитель программных продуктов для построения
сетей и развития сетевых инфраструктур любого уровня сложности, а также решений для Интернет-провайдеров. Флагманский продукт – «Интернет-шлюз Ideco ICS» базируется на Linux-ядре и объединяет в себе около 25 компонентов и служб, которые позволяют решать практически все задачи управления трафиком в корпоративных и ведомственных сетях.
Пользователями Ideco ICS являются около 5000 организаций России и других стран СНГ, в том числе подразделения ГМК «Норильский никель», ОАО «РЖД», ГК «Ростехнологии». Основную долю пользователей Ideco ICS представляют предприятия малого и среднего бизнеса. Применение комплексных решений компании «Айдеко» позволяет заказчикам экономить ИТ-бюджеты и обеспечивать высокие характеристики надежности, защищенности и эффективности сетевых инфраструктур.

 
4 марта, 2011 — 11:55 (просмотров: 1486)   • Связь и телекоммуникации, Мир •  

Чтобы добавить пресс-релиз, нужно зарегистрироваться

(c) 2006-2022 Сервис размещения пресс-релизовБесплатный сервис распространения пресс-релизов компаний

Настройка сервера IDECO UTM

Пропингуем сервер IDECO, чтобы убедиться, что он находится в той же сети и виден для других компьютеров (Выполнить \ cmd \ ping 192.168.0.10)

Подключаемся по указанному адресу \ https://192.168.0.10:8443 \ Получить доступ не безопасно, просто браузеру не известен сертификат через который выполняется подключение. При желании, его можно добавить в хранилище сертификатов \ Логин administrator пароль servicemode \ Сервисы \ Сертификаты \

Поменяем пароль по умолчанию на свой (Управление сервером \ Администраторы \ Сменить пароль \ Перелогинимся)

Первым делом у нас выдаются ошибки, связанные с доступов в меню сервера непосредственно на сервере, настройкой сетевой карты, которая смотрит в сеть интернет и лицензией.

1. Пароль пользователя root. Входим непосредственно на сервер (ОК \ Установить пароль \ Теперь мы можем получать доступ к меню сервера, тут допустим можно сервер перезагрузить)
2. Настроим интернет (Сервисы \ Сетевые интерфейсы \ Сетевые карты, если вы не подключили сетевую карту, то подключите её и перезагрузите сервер IDECO UTM \ Выбираем сетевую карту с состоянием «Не используется» \ Назад \ Добавить \ Внешний Ethernet \ Выбираем внешнюю сетевую карту \ Выбрать \ Автоматическая конфигурация через DHCP, если нужно, можете настроить вручную \ ОК \ Выполняется подключение \ Соединение с интернет установлено)

Чтобы проверить, что сервер действительно имеет доступ в Интернет. В данной версии это можно сделать прям через веб-интерфейс сервера (Управление сервером \ Консоль \ ping my.ideco.ru или 8.8.8.8)

1. Настройка лицензии (Главная страница IDECO \ Лицензия \ Сервер не зарегистрирован \ Зарегистрировать \ Входим в личный кабинет, от куда скачивали дистрибутив \ Ideco UTM \ Лицензия \ Зарегистрировать новый сервер \ Сервер зарегистрирован под лицензией enterprise-demo на 40 дней с полным набором функций.

Можно так же потом указать SMB лицензию на 20 пользователей, но там есть существенные ограничения по функционалу.

Active Directory                                Выключен

Kaspersky Anti-Virus для Web      Выключен

Kaspersky Anti-Virus для Mail       Выключен

Контроль приложений                Выключен

Предотвращение вторжений    Выключен

Расширенный контент фильтр  Выключен

Причем, обратно уже вернуть полноценную демо версию не получится L Так что будем тестировать enterprise-demo

Основные проблемы сисадминов с интернет-шлюзом

Каждый раз при размещении нового сервера или службы у сисадмина возникает проблема: как «вписать» новую постоянно работающую службу или сервер в уже устоявшуюся сеть.

Как подстроить NAT и другие сетевые службы для ее корректной работы, будет ли данный сервер в AD, могут ли на нем размещаться другие сетевые службы или сервер должен быть выделенным. Это не зависит от способа реализации – это вопрос сетевого планирования.

Основные проблемы при использовании программных шлюзов следующие. В первую очередь это знакомая многим ситуация: старый админ уволился, а новый гений в процессе работы сбил корректно работающие настройки и понятия не имеет, почему ничего не работает, и что же теперь делать. Тяжелый случай – прошлый админ корректно все настроил через фряху, а админ – любитель Windows полез разбираться с печальными для себя и предприятия последствиями. Часто у новичков встречается некорректная настройка фильтров из-за нежелания прочесть мануал и понять, что же там написано. Или просто пользователь поставил программу и понятия не имеет, а что же с ней делать.

В общем, интернет-шлюз – это инструмент, который нужно подбирать в зависимости от решаемых задач, вкусов и компетентности отвечающего за безопасную и бесперебойную работу сети сисадмина. Главное, чтобы сеть работала как часы и выполняла важнейшую возложенную на нее функцию обеспечения коммуникации организации с внешним миром.

Благодарим вас за внимание и ждем ваших комментариев

Тест-драйв

Для тестирования Ideco UTM я развернул программный комплекс на виртуальном сервере и настроил его в качестве шлюза. Чтобы проверить, что система вообще работает, добавляем в «черный список» URL нашего любимого журнала и пробуем открыть его в браузере. Опа, доступ запрещен!

Проверка работоспособности: фильтр контента работает

Пробуем запустить Tor Browser: программа не может установить соединение с Tor-сетью и отваливается по тайм-ауту. Аналогично с TeamViewer: значок статуса связи горит красным, следовательно, контроль приложений также успешно блокирует нежелательное соединение. А вот к Pornhub доступ почему-то есть, несмотря на то что этот сайт, по идее, должен быть заблокирован контент-фильтром. Что ж, оставим настройки файрвола по умолчанию и посмотрим, как у нас обстоят дела с безопасностью.

Для этого я использовал Check Point CheckMe — бесплатный сервис проверки уровня защищенности межсетевого экрана. Достаточно зайти на страничку сервиса, запустить сканирование и дождаться результатов. Служба пытается загрузить на компьютер тестовый файл EICAR, чтобы проверить антивирусную защиту, а также имитирует различные виды атак с использованием уязвимостей ПО, тестирует возможность доступа к вредоносным сайтам, исследует открытые порты. Вот с каким результатом завершился этот тест.

Тест Check Point CheckMe показывает степень защищенности системы

CheckMe показал, что сеть защищена от вредоносного ПО и уязвимостей нулевого дня, но беззащитна перед эксплуатацией уязвимостей браузера и утечками данных. Впрочем, напомню, что в настройках Ideco UTM у меня подключена функция предотвращения вторжений и фактически не настроен брандмауэр. Возможно, с этими двумя модулями степень защищенности была бы намного выше.

Теперь обратимся к альтернативному сканеру HackerWatch. Он ищет открытые порты, которые могут быть потенциально уязвимы к вторжению извне. Результат проверки показан на иллюстрации ниже.

Результат проверки системы сканером HackerWatch

Тест демонстрирует, что сканеру не удалось достучаться до машины и весь подозрительный трафик был заблокирован, даже несмотря на то что мы не занимались настройкой файрвола. Кроме того, существует тест безопасности от самой компании Ideco, который в основном проверяет доступность сайтов из списков контентного фильтра: анонимайзеры, онлайн-казино, порно и так далее. Если фильтры включены и правильно настроены, тест, очевидно, будет успешно пройден. Правда, вопрос о том, насколько серьезное отношение к безопасности имеет блокировка доступа к сайтам определенной тематики, остается открытым.

Необходимый функционал корпоративного интернет-шлюза

Интернет-шлюз организует бесперебойную работу в интернете всех работников фирмы, поэтому прокси-сервер, на базе которого он выполнен, должен обладать достаточным функционалом, удобным интерфейсом и возможностью гибкой настройки сети и прав доступа: VIP-пользователям обеспечить полный доступ к сети, а рядовым отрубить ВКонтакте и любимые форумы

Также важно легко управлять скоростью пользователей, устанавливать приоритеты для различных видов трафика (например, повысить приоритет IP-телефонии для обеспечения качественной связи и понизить для архивов). Не стоит забывать и о поддержке VPN и NAT

Крайне полезна возможность удаленного администрирования, чтобы львиную долю проблем с сетью можно было решать, не выходя из дома.

Встроенный прокси-сервер помогает контролировать и экономить интернет-трафик: он позволяет анализировать запросы пользователей, загружаемые сайты и их элементы и действовать в строгом соответствии с установленными правилами. Обычно от интернет-шлюза требуются следующие функции фильтрации трафика:

• наличие контентной фильтрации,
• возможность фильтрации HTTPS,
• назначение фильтров в зависимости по времени,
• на определенные группы пользователей,
• наличие готовых шаблонов для правил.

Часто используются системы каскадирования прокси, возможность перенаправления трафика разных пользователей на разные вышестоящие прокси, причем с разными способами и типами авторизации.

Отдельно стоит сказать о статистике, которая для интернет-шлюза является не «третьим видом лжи», а важным источником информации о поведении пользователя. Благодаря статистике можно в любое время узнать, кто из пользователей забивает Интернет-канал, на каких ресурсах зависают сотрудники и когда пора блокировать сайты и резать лимит трафика.

Кроме того, интернет-шлюз обеспечивает защиту корпоративной сети от внешних воздействий. Особенно надежная защита важна в случае, когда по тем или иным причинам не только пользователи сидят под Windows, но и сам сервер (не будем разводить холивар на тему, почему под Windows, но практика показывает, так бывает весьма часто). В таком случае антивирус и фаервол необходимы как воздух. Также нужен модуль защиты от фишинга и, главное, прямые руки того, кто все это великолепие настраивает.

Отдельная тема – наличие сертификатов безопасности, которые, во-первых, определенную безопасность гарантируют (абы кому их не выдают), а во-вторых, в случае наличия сертификата ФСТЭК, интернет-шлюз не вызовет подозрения в ходе «всеми горячо любимых» бюрократических проверок организации.

Что такое шлюз безопасности?

Шлюз безопасности – это специализированный сервер, который необходим для защиты сети от нежелательного трафика, оценки уязвимости сети, предотвращения утечки данных и обеспечения контроля доступа сотрудников к корпоративным ресурсам.

Существуют различные вариации шлюзов безопасности, рассчитанные на разное количество сотрудников и различную пропускную способность.

Так, например шлюз безопасности Juniper SRX345-DUAL-AC имеет пропускную способность до 5 Гбит и 800 Мбит IPsec VP и может использоваться в организациях, где к информации имеют доступ даже более 100 сотрудников.

Компания Juniper предлагает различные варианты шлюзов безопасности для больших и маленьких организаций, а также маршрутизаторы, коммутаторы, устройства для беспроводной связи, синхронизации времени, обеспечению контроля и идентификации безопасности.

Корпоративный интернет-шлюз — голова ИТ-инфраструктуры, но в случае любых проблем он мгновенно превращается в другую часть тела… для компании.

Выбор интернет-шлюза зависит от множества обстоятельств: выделенного бюджета, квалификации и пристрастий к аппаратным и программным решениям ответственного за сеть админа, размера сети, необходимости наличия сертификатов и т.д. Наверное, эта статья не для познавших Дао гуру, которые с помощью подручных средств вроде третьего пенька, бубна и какой-то матери играючи могут обеспечить бесперебойный доступ в интернет и контроль трафика для сотен машин. Мы поговорим о вещах более стандартных и приземленных: как выбрать корпоративный интернет-шлюз и что в нем должно быть?

Как выбрать решение для сетевой защиты

Сегодня крайне сложно вступать в споры о том, к какому типу относится тот или иной межсетевой экран. Мы в Cloud Networks считаем, что прежде всего нужно отталкиваться от тех требований, которые необходимы каждому отдельному заказчику.

Поэтому мы уделяем много ресурсов на точный подбор решения и не акцентируем внимание на том, что «хуже», а что «лучше». Главное, чтобы решение справлялось со своими задачами

Если же говорить о замене зарубежного NGFW на отечественное решение, то наш ответ – да, это реально, мы это делаем и это работает.

При выборе NGFW нужно рассматривать функции защиты, встроенные в конкретный межсетевой экран. Существуют как унифицированные решения NGFW для малого и среднего бизнеса, так и те, что включают расширенные функции.

Cloud Networks советует рассмотреть следующие критерии:

1. Тип платформы (аппаратное устройство, программное решение или облачное).
2. Набор функций (глубокая проверка пакетов, контроль приложений, проверка SSL/SSH, DLP и прочее).
3. Производительность (у продукта должна быть высокая пропускная способность, соответствующая заявленной поставщиком).
4. Управляемость (у решения должна быть современная удобная и гибкая консоль управления).
5. Техническая поддержка.

А также наличие следующих характеристик:

• Интеллектуальная фильтрация URL-адресов.
• Встроенные правила передовой практики.
• Возможности мониторинга туннелей.
• Функционал создания VPN туннелей.

• Проверка почтового трафика.
• Поддержка кластеризации и отказоустойчивости.
• Управление пропускной способностью.
• Проксирование приложений.
• Поддержка политики BYOD.
• Инспектирование SSL-трафика.
• DNS-фильтрация.
• Функция балансировщика нагрузки.

• Управление мобильными устройствами.
• Защита от отказа в обслуживании (DoS).
• Защита от уязвимостей.
• Антишпионское ПО, вредоносное ПО, сканирование программ-вымогателей.
• Предотвращение потери данных (DLP) и многое другое.

Авторизация через веб-интерфейс

Включим функцию авторизации через веб (Сервисы \ Авторизация пользователей \ Включить: Веб-авторизация \ Авторизация через веб-интерфейс \ Тайм-аут разавторизации: 15 минут, т.е. если пользователь не пользуется интернетом в течении 15 минут, то при подключении будет вновь запрашиваться логин и пароль \ Сохранить)

Создадим пользователя, под которым будет авторизоваться сотрудник через браузер (Пользователи \ Добавить \ Имя пользователя: Прорабская; Логин: prorab; Пароль \ Сохранить)

Настраиваем клиентский компьютер (Сетевые настройки \ Свойства \ IPv4 \ Шлюз: 192.168.0.10 \ ДНС: 192.168.0.10)

Заходим в браузер и пытаемся зайти на сайт

Авторизация в Ideco UTM

В качестве опций авторизации в Ideco UTM доступны следующие варианты:

• IP-адрес хоста;
• MAC-адрес;
• протоколы VPN;
• страница авторизации в браузере;
• программа Ideco Agent.

Каждой пользователь может авторизоваться в Ideco UTM с трех разных адресов. Авторизация осуществляется на основе IP-адреса хоста. Еще одна опция появилась сравнительно недавно — только в 12-й версии. Это авторизация по MAC-адресу. Одновременно с ней стал доступен и третий вариант, который позволяет скомбинировать для авторизации MAC и IP-адреса пользователя.

Если сотрудник входит в систему через VPN, для его авторизации доступны протоколы:

• IKEv2/Ipsec;
• SSTP;
• L2TP/Ipsec;
• PPTP.

Авторизацией через VPN удобно пользоваться в том случае, если выполняется подключение к корпоративной сети за пределами офиса. Подключаясь по VPN, пользователь может безопасно работать в сети из любой точки мира.

Технические требования для установки Ideco UTM

Чтобы установить данный шлюз безопасности, не нужно предварительно ставить определенную операционную систему или дополнительное ПО. Ideco UTM будет работать с тем, что есть. К серверу могут подключаться устройства пользователей на ОС Windows, Linux или Mac OS X. Если речь идет о мобильных устройствах, то поддерживаются также Android и iOS. Установка выполняется на выделенный сервер с автоматическим созданием файловой системы для хранения всех необходимые компонентов.

Единственным требованием к платформе для работы Ideco UTM является поддержка Unified Extensible Firmware Interface (UEFI). Для корректной работы также потребуется от 8 Гб оперативной памяти. При этом если в сети, которую будет контролировать Ideco UTM, более 75 пользователей, требуемый объем увеличивается до 16 Гб.

Данные, которые собирает инструмент, могут храниться на жестком диске или накопителе SSD. Их объем должен в любом случае должен составлять не менее 64 Гб. Если планируется использовать в работе Ideco UTM почтовый сервер, потребуется дополнительный жесткий диск или SSD, отвечающие тем же требованиям.

Чтобы работать с сетью, инструмент использует сетевые карты или порты. Решение совместимо с картами на чипах Intel, Broadcom, Realtek, D-Link и т. п. Рекомендованными считаются только первые два, но работа со многими другими также не вызовет сложностей.

Тестирование релизов и надежность

Частота выхода новых релизов, само собой, предъявляет повышенные требования к стабильности работы продукта. Технология разработки и тестирования версий Ideco UTM постоянно совершенствуется, и важным компонентом становится трехэтапное тестирование.

Больше 800 проверок каждой версии обеспечиваются автоматическими тестами, в том числе и нагрузочными. Это тестирование позволяет добиться устойчивой работоспособности версии в большинстве стандартных кейсов.

Для релизного тестирования дополнительно проверяются еще почти 500 ручных тест-кейсов. Этот этап включает тестирование уже в более сложном окружении, в его рамках проверяется корректная работа Ideco UTM с почтовыми и веб-серверами, разнообразными контроллерами доменов и другими сервисами.

Количество автоматических и ручных тестов, по заверениям разработчиков, в будущем будет расти, чтобы максимально повысить стабильность выпускаемого продукта формальными методами.

И финальным этапом является бета-тестирование участниками сообщества «Айдеко», включавшего более 500 реальных серверов на момент подготовки 13-й версии. Это позволяет проверить стабильность работы в реальной инфраструктуре на самых разных комбинациях железа, системного и прикладного софта, а также в условиях многообразия трафика – как по типу, так и по объему.

>

Модель Ideco LX предназначена для предприятий малого и среднего бизнеса численностью от 300 до 3000 пользователей Интернет. В качестве аппаратной платформы данной линейки используются серверы Depo с высокой производительностью и отказоустойчивостью.

Серверы серии LX обладают повышенным уровнем надёжности, производительности и управляемости в сочетании с возможностью наращивания ресурсов вычислительной системы.

Характеристики аппаратной платформы:

Процессор:	Intel Xeon E3-1275 v6
Память:	32 GB DDR4-2133 UDIMM ECC
Жесткий диск:	1000 GB SATA hard drive (7200rpm)
Сетевой адаптер:	8x Gigabit LAN ports Intel i210
Источник питания:	300 Вт
Форм-фактор:	1U
Размеры:	504х43х437
Масса:	15 кг
Гарантия:	1 год

Ideco LX-Cert
Модель	Купить
Ideco LX150-Cert	Купить
Ideco LX200-Cert	Купить
Ideco LX250-Cert	Купить
Ideco LX500-Cert	Купить
Ideco LX1000-Cert	Купить

Выводы

Программный комплекс Ideco UTM показался мне довольно интересным решением по двум причинам. Прежде всего — из-за концепции «все в одном»: не нужно устанавливать и настраивать кучу разношерстных модулей, все самые необходимые инструменты здесь собраны воедино. Второй плюс — удобство администрирования: веб-панель довольно наглядная и простая даже для новичков, ключевые настройки снабжены подсказками, причем на русском языке. Ну а наличие бесплатной версии Ideco UTM для SMB позволяет развернуть шлюз безопасности в сетях с Linux-сервером и пользоваться всеми преимуществами коммерческого релиза без каких-либо ограничений. Демонстрируемый Ideco UTM уровень защиты вполне приемлем для программных комплексов такого уровня, но в целом зависит от настроек. А поскольку настроек много, можно превратить шлюз фактически во что угодно: в прокси-сервер, VPN-сервер, файрвол, средство офисного контроля, балансировки и мониторинга трафика, даже в веб-антивирус.

Тех, кто раньше уже имел дело с Ideco UTM, наверняка порадуют новинки восьмой версии: обновленный интерфейс администратора, новая реализация блокировки и резервирования каналов, построение маршрутов с указанием объектов по источнику, возможность менять правила файрвола на лету без разрыва текущих соединений. Ну и появившийся в веб-интерфейсе терминал добавляет в арсенал админа еще один полезный инструмент. Дополнительно радует возможность обратится в тех-поддержку с помощью чата прямо из веб-интерфейса Ideco UTM, что уже привычно для пользователей, но среди межсетевых экранов реализовано пока только у Айдеко.