Internet-шлюз Ideco ISC.

Министерство образования и науки РФ
Государственное образовательное учреждение высшего профессионального образования
НИЖЕГОРОДСКИЙ ГОСУДАРСТВЕННЫЙ ТЕХНИЧЕСКИЙ УНИВЕРСИТЕТ
им. Р.Е.АЛЕКСЕЕВА
Кафедра "Вычислительные системы и технологии"
Практикум «Программное обеспечение вычислительных сетей»
Практическая работа №1
«Internet-шлюз Ideco ISC»
ПРЕПОДАВАТЕЛЬ:
Кочешков Александр Александрович
СТУДЕНТ
Блажнов Илья Дмитриевич
Группа 10-В-2
Нижний Новгород
2014
1
Internet-шлюз Ideco ISC.
1. Функциональное назначение, версии и условия поставки программной системы
Интернет-шлюза Ideco ICS.
Ideco ICS (Internet Control Server) – программный Интернет-шлюз на ядре Linux,
используемый для контроля и распределения доступа в Интернет в корпоративных и
частных сетях.
Ideco ICS устанавливается на границе между локальной сетью предприятия и Интернет. И
все взаимодействие пользователей с глобальной сетью осуществляется через Ideco ICS.
Сервер имеет как минимум два сетевых интерфейса: один интерфейс подключен к
Интернет, а второй к локальной сети предприятия. Это позволяет полностью управлять
Интернет-трафиком, а также обеспечивать защиту локальной сети от внешних угроз.
Возможности:








Контроль доступа;
Защита и безопасность, межсетевой экран;
Ограничение трафика;
Удаленное подключение, виртуальные частные сети;
Интеллектуальный QoS. Интеллектуальная приоритезация трафика по скорости и
типу, резервирование полосы пропускания для важных приложений, возможность
расставлять приоритеты вручную
DHCP-сервер - Автоматическое распределение IP адресов в локальной сети.
Полноценный маршрутизатор, поддерживающий множество интерфейсов (как
локальных, так и внешних). Поддерживаются виртуальные 802.1q VLAN
интерфейсы, PPTP, L2TP, PPPoE и OpenVPN интерфейсы. Возможность указать
маршруты по источнику.
Подключение к провайдерам, резервирование каналов
Ideco ICS имеет редакции:



Сертифицированный ФСТЭК России дистрибутив для корпоративного
использования
Редакция "Standard Edition"
Редакция "Enterprise Edition" (Обладает всеми возможностями версии Standard
Edition, а также имеет ряд дополнительных возможностей)
Ideco ICS выпускается в четырех версиях: в виде софта, аппаратного решения, в виде
сертифицированного ФСТЭК России дистрибутива для корпоративного использования и в
виде софта для бесплатного использования в домашних сетях и для целей обучения.
Я буду использовать Demo-версию Ideco ICS, срок её пробного использования 30 дней,
что вполне достаточно.
Последняя версия продукта на данный момент: 5.4.0 build 293 (28.03.2014)
Тип лицензии: коммерческое ПО.
2
Основные возможности Ideco ICS
• Сервер Ideco ICS управляет доступом в Интернет и защищает компьютеры
пользователей от внешних угроз (рис. 1)
Рис. 1
• С помощью Ideco ICS, используя иерархческие группы и наследование прав, можно
легко контролировать доступ в Интернет для очень большого количества пользователей
(рис. 2)
Рис. 2
• Ideco ICS осуществляет контроль доступа не по компьютеру, а по пользователю, что
идеально подходит для мест публичного доступа в Интернет (рис. 3)
Рис. 3
3
• Ideco ICS позволяет защитить внутренние сервера организации от атак из Интернет
(рис. 4)
Рис. 4
• Ideco ICS позволяет организовать безопасное подключение удаленных пользователей
(рис. 5)
Рис. 5
• Ideco ICS позволяет организовать защищенные каналы между филиалами (рис. 6)
Рис. 6
2. Установка IdecoICS на виртуальную машину. Настройка сетевых интерфейсов
шлюза для начального конфигурирования.
Выполнение:
1) Создадим виртуальную машину со следующими параметрами:
o Число процессоров: 1
o Объём ОЗУ: 256 Мб
o Размер жёсткого диска: 8 Гб
o Сетевой адаптер: VMnet8: 00:0C:29:03:9E:14
2) Далее указываем путь к скачанному образу Ideco ICS и начинаем установку.
Вначале нам предлагается протестировать ОЗУ перед установкой (memtest) либо сразу
начать установку (setup).
4
3) Начинаем сразу установку.
4) Далее нам предлагается перед установкой установить в BIOS правильные дату и время
Нажимаем далее
5) Затем переходим к прочтению лицензионного соглашения на продукт и лицензионного
соглашения на продукты Лаборатории Касперсокого.
6) Далее нам предлагается установить, обновить или восстановить Ideco ICS (рис. 7)
Рис. 7
Выбираем «Установка Ideco ICS».
7) Далее нас предупреждают, что для корректной работы необходимо минимум 2 сетевых
адаптера Ethernet, а обнаружен лишь 1. Делать нечего, придется продолжить.
8) Затем нас предупреждают, что все данные на диске будут уничтожены. Нажимаем
продолжить.
Далее идёт проверка различных параметров и копирование файлов на диск.
9) Далее нам предлагается ввести адрес и маску. Мы оставляем значения по умолчанию, а
именно: IP-адрес 192.168.0.1 и маску 255.255.255.0 (рис. 8)
Рис. 8
10) Далее идёт настраиваем локальный интерфейс.
Тут должна быть ещё строка с выбором сетевого интерфейса, но у нас пока только 1
сетевой адаптер Ethernet. Нажимаем далее.
11) Затем нам выдаётся сообщение о том, что установка завершена успешно и что далее
необходимо перезагрузить сервер, зайти в веб-интерфейс по адресу http://192.168.0.1
Для входа в систему нужно использовать логин Administrator с паролем servicemode.
12) После перезагрузки система начинает проводить монтирование и проверку файловой
системы, а также проверку необходимых компонентов
13) Затем нам снова выдаётся сообщение о том, что для корректной работы необходимо
минимум 2 сетевых адаптера Ethernet, а обнаружен лишь 1. Нажимаем далее.
14) Далее для входа в систему вводим пароль servicemode
Далее нам выдаётся список возможных операций (рис. 9)
5
Рис. 9
15) Для того чтобы устранить проблему с количеством сетевых адаптеров, выключим
виртуальную машину и в её конфигурации добавим ещё один сетевой адаптер – VMnet1
16) После этого запускаем виртуальную машину.
Снова происходят начальные операции по монтированию и проверке файловой системы и
проверке необходимых компонентов
17) Далее вводим пароль для входа в систему и нам больше не выдаётся предупреждений
(рис. 10)
Рис. 10
На этом установка завершена.
6
3. Базовая настройка сервера, настройка сетевого подключения к провайдеру
Интернет, настройка подключения администратора
Для возможности конфигурирования шлюза Ideco ICS через веб-браузер настроим стек
TCP/IP для адаптера VMnet8, задав IP-адрес 192.168.0.2 (рис. 11)
Рис. 11
После настройки стека TCP/IP заходим через браузер в панель управления шлюзом.
1) Вводим в адресной строке http://192.168.0.1
2) Осуществляем вход от имени учётной записи Administrator с паролем servicemode
(рис. 12)
Рис. 12
7
1) Переходим к базовой настройке сервера.
В данном окне имеются следующие поля:
•
Имя сервера
•
Временная зона
•
IP-адрес/маска локального интерфейса
•
MAC-адрес локального интерфейса
По умолчанию задано следующее имя сервера: vpn.mydomain.ru.
2) Сменим его на blazhnov, а остальные настройки оставим как есть (рис. 13)
Рис. 13
3) Далее переходим к настройке сетевого подключения к провайдеру Интернет.
Нам предлагается либо задать вручную IP-адрес, шлюз и DNS, либо получить их через
DHCP провайдера.
4) Мы выберем прямое Ethernet подключение и оставим вручную заданные настройки,
выставленные по умолчанию (рис. 14).
Рис. 14
8
5) После настройки подключения к Интернет-провайдеру переходим к настройке
подключения администратора. В данном окне нам предлагается указать следующие
параметры:
•
Email администратора – указывается email администратора (или несколько через
точку с запятой) для информирования по почте о системных событиях
•
Тип подключения администратора (тип авторизации компьютера главного
администратора):
o Авторизация по IP – устанавливается автоматически при загрузке сервера
Ideco ICS
o Авторизация по VPN – является более защищённым типом подключения к
серверу
•
IP-адрес компьютера главного администратора (присутствует только при выборе
типа авторизации по IP)
•
Пароль администратора – если данное поле не заполнить, то останется заданный по
умолчанию пароль servicemode
6) Зададим настройки:
•
Email администратора: blazhnov92@gmail.com
•
Тип подключения администратора: Авторизация по IP
•
IP-адрес компьютера главного администратора: 192.168.0.2
•
Пароль администратора – задаём новый и подтверждаем (рис. 15)
Рис. 15
4. Изучение функций сетевой безопасности шлюза и настройка доступных средств
безопасности.
1) Далее мы настраиваем работу антивируса, антиспама и другие параметры сетевой
безопасности.
Данное окно содержит три категории, которые содержат свои флаги настроек
2) Выставим флаги:
•
Антивирус и антиспам:
 Включить проверку веб-трафика Антивирусом Касперского (весь трафик,
проходящий через данный шлюз, будет проверяться антивирусом Касперского)
9
 Включить проверку почты Антивирусом Касперского (проверяться будет только та
почта, которая отправлена с помощью почтового сервера Ideco, то есть письма,
отправляемые напрямую на внешние почтовые сервера, обрабатываться не будут)
 Включить спам-фильтр Касперского
 Включить спам-фильтр DSPAM (свободное программное обеспечение,
представляющее собой статистический масштабируемый спам фильтр на основе
содержания, для больших многопользовательских систем, распространяющийся
под лицензией GNU General Public License)
•
Безопасность сети
•
Автоматическое обновление
Все вышеперечисленное представлено на рисунке 16.
Рис. 16
5. Конфигурирование встроенного DHCP-сервера
Теперь мы переходим к дополнительным настройкам.
1) Начнём мы с настройки встроенного DHCP-сервера. На первом шаге нам требуется
включить службу DHCP для автоматического назначения IP-адресов компьютерам в
локальной сети.
2) Далее зададим диапазон IP-адресов: 192.168.0.10 – 192.168.0.20 (рис. 17)
10
Рис. 17
3) Затем нам выдаётся итоговая сводка и мы нажимаем «Готово» (рис. 18)
Рис. 18
6. Настройка прокси-сервера
Выполнение:
1) Запускаем мастер настройки прокси-сервера.
2) Включаем встроенный прокси-сервер.
3) Далее включаем прозрачное кэширование для всех пользователей и скрытие наличия
прокси-сервера.
Прозрачное кэширование для всех пользователей автоматически перенаправляет
вебтрафик всех пользователей на встроенный прокси-сервер (если данная опция не
активирована, то пользователей придётся перенаправлять вручную). Скрытие наличия
прокси-сервера позволяет не показывать страницы ошибок прокси-сервера и убирать
HTTP-заголовки, формируемые им.
4) Далее нам выдаётся итоговая сводка и мы нажимаем «Готово» (рис. 19)
11
Рис. 19
5) На этом настройка Ideco ICS заканчивается.
Далее нам выдаётся итоговая сводка по всем настройкам (рис. 20)
Рис. 20
6) Далее нам выдаётся сообщение, что все данные сохранены и сервер перезагрузится
7. Подключение к серверу от имени учётной записи администратора с помощью
Web-интерфейса, создание пулов адресов клиентов, рассмотрение свойств профилей
Выполнение:
1) Авторизуемся от имени учётной записи Administrator уже с новым паролем
2) После авторизации у нас открывается окно управления сервером (рис. 21)
3) Далее нам нужно создать пулы адресов клиентов и рассмотреть свойства профилей.
12
Рис. 21
Пул адресов – это набор подсетей, из которых будут выдаваться IP-адреса клиентам.
Использование пулов адресов делает удобным управление IP-адресами, назначаемыми
пользователям и компьютерам.
Здесь создаются пулы IP-адресов, для последующего использования в сети. Пулы IPадресов используются для удобства и не являются обязательными для работы сети.
Необходимость в их настройке, как правило, вызвана обилием используемых профилей,
сложными конфигурациями сетей на предприятии или наличием нескольких
подключений к провайдеру. Пулы IP-адресов позволяют сгруппировать пользователей по
признаку принадлежности к разным подсетям, а уже этим подсетям должен быть
разграничен доступ средствами Firewallа или назначены определенные маршруты в
другие подсети. Использование определенных пулов IP-адресов определяется у конечных
пользователей или у группы.
4) В категории «Профили» переходим во вкладку «Пулы IP-адресов».
Здесь мы видим, по умолчанию используются следующие пулы адресов
•
Простой пул (10.128.0.1 – 10.200.0.0)
•
Пул с Firewall (10.200.1.0 – 10.20.1.255)
•
Реальные адреса для серверов (192.168.1.1 – 192.168.1.255)
•
Пул для авторизации по IP (10.0.0.10 – 10.0.0.20)
5) Далее создадим ещё один пул адресов (192.168.0.10 – 192.168.0.20) и назовём его
blazhnov_pool (рис. 22)
Рис. 22
Флажок «Зарезервировать (раздавать вручную)» мы оставим сброшенным, чтобы адреса
раздавались автоматически, а флажок «Включен» установим, чтобы пользователи, для
которых задан пул, могли выйти в Интернет.
13
6) Создадим своё правило, которое назовём Blazhnov-Ilya (рис. 23 и рис. 24).
Рис. 23
Рис. 24
7) Далее зададим подсеть, на которую это правило будет распространяться, назвав её
Zapret.
Указываем адрес подсети с маской, а также устанавливаем флажок «Доступ запрещён»,
чтобы для данной подсети сделать правило запрещающим (рис. 25)
Рис. 25
8) Далее переходим к профилям.
Профили нужны для тарификации данных и ограничения скорости.
Профиль определяет стоимость трафика в зависимости от подсети, а также от
направления трафика (входящий или исходящий). В Ideco ICS профиль состоит из списка
правил с указанием стоимости входящего и исходящего трафика для этого правила.
Создадим свой профиль
В Общих параметрах профиля укажем его название –, далее выберем в качестве внешнего
интерфейса, на котором будет работать профиль, Eeth2.0. Если на сервере Ideco один
внешний интерфейс, то он будет выбран по умолчанию. При необходимости можно
указать NAT адрес для пользователей профиля (рис. 26)
14
Рис. 26
9) Сохраняем наш профиль и теперь его можно наблюдать в списке профилей.
Добавим для нашего профиля правило для внешнего трафика (рис. 27)
•
•
•
•
•
Рис. 27
Стоимость входящего 1 Мб = 5 ед
Стоимость исходящего 3 Мб = 10 ед
Входящая скорость = 500 Кбит/с
Исходящая скорость = 150 Кбит/с
Время действия от 06:00:00 до 23:59:59
Правила в профиле обрабатываются последовательно сверху вниз, поэтому, если
поместить правило «Внешний трафик» на первую строчку, то остальные просто не будут
обрабатываться, и соответственно весь трафик будет тарифицироваться как внешний.
15
8. Создание новой группы пользователей, настройка профиля по трафику, тарифу,
фильтрации доступа к ресурсам
Выполнение:
1) Переходим теперь на вкладку «Пользователи»
2) Как мы видим, в данном окне содержатся следующие настройки:









Общие – здесь можно для конкретной группы (на данный момент у нас имеется
только группа «Все»):
Задать тип авторизации, профиль и пул
Разрешить/запретить вход, VPN подключение, переподключение
Включить/выключить контроль утечек информации и синхронизацию с LDAP/AD
Получить информацию обо всех пользователях
Почта/Jabber – здесь можно указать следующие почтовые настройки для
пользователя:
 Почтовый ящик пользователя
 Email для уведомлений
 Jabber ID
 Разрешить Jabber
 Разрешить почту
 Переадресовать почту
 Доступ к почте из Интернета
 Автоответчик для почты
 Тема автоответа
 Текст автоответа
Ограничения – здесь задаются следующие ограничивающие правила:
 Ограничения из пользовательского Firewallа
 Ограничения брандмауэра приложений
 Ограничения по времени подключения
 Ограничение возможности авторизации и подключения с адресов
Статистика – позволяет собрать статистику за заданный период, сгруппировав
результат для удобства восприятия
Финансы – позволяет выставлять настройки, связанные с финансами, а именно:
o Отображение текущего баланса
o Финансовый договор
o Оповещение клиента, когда баланс достиг порогового значения
o Порог отключения
o Выделение на период
o Финансовый договор
o Абонентская плата
2) Создадим новую группу «GroupBlazhnov» (рис. 28).
Рис. 29
16
3) Создадим пользователя (рис. 28):
•
Имя пользователя – Ilya
•
Логин –
blazhnov
•
Пароль: ***
Рис. 28
4) Теперь переходим к настройке профиля по трафику, тарифу, фильтрации доступа к
ресурсам. Оставим там настройки по умолчанию
5) Далее для группы GroupBlazhnov во вкладке «Общие» зададим тариф BlazhnovTrfor_lab и пул blazhnov_pool (рис. 29)
Рис. 29
6) Далее перейдём на вкладку «Ограничения» и зададим несколько правил.
Начнём с ограничений из пользовательского Firewallа. Имеются следующие флаги
запретов:
Запрет ICQ
Запрет исходящей почты (SMTP)
Запрет входящей почты (POP3, IMAP)
Ограничить скорость скачивания – ограничить скорость для скачивания больших
файлов
Запретить всё, кроме WEB
Запретить всё, кроме ICQ
17
Запрет порнографии
Запрет IM – запрет мессенджеров: ICQ, AOL Instant Messenger, MSN Messenger,
Yahoo Messenger, Rambler ICQ, Mail.ru Agent, Jabber, IRC, Google Talk
Запрет авто – запрет сайтов, содержащих автомобильную тематику
Социальные сети – блоги, социальные сети, службы знакомств
Запрет игр – запрет сайтов, содержащих игровую тематику, и популярных сетевых
игр
Запрет файлообмена – запрет обмена музыкальными, видео файлами, архивами,
запрет протоколов P2P
Запрет рекламы – запрет рекламных и баннерных сетей
Установим следующие флаги (рис. 30)
o Запрет игр (защита от работников, которые любят поиграть в рабочее время)
o Запрет файлообмена
o Запрет рекламы
Рис. 30
7) Далее разрешим доступ по времени с 06:00:00 до 23:00:00
Таким образом, видим общую сводку (рис. 31)
Рис. 31
18
9. Наблюдение информации и статистики работы конкретного пользователя
Для выполнения данного задания авторизуемся от имени созданной учетной записи
Ilya с логином blazhnov
Нам доступны следующие действия:
- Просмотреть информацию о пользователе (рис. 32)
Рис. 32
Просмотреть статистику работы пользователя за определённый период с учётом
группировки (рис. 33)
Рис. 33
Просмотреть информацию о тарифном плане, действующем для данного
пользователя (рис. 34)
19
Рис. 34
- Сменить пароль и задать email для оповещения (рис. 35)
Рис. 35
20