1. Об ideco utmОб ideco utm Шлюз безопасности ideco utm – это...

1. Об Ideco UTM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31.1 Общая информация . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3

1.1.1 О продукте . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31.1.2 Техническая поддержка . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31.1.3 Лицензирование Ideco UTM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4

1.2 Установка . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51.2.1 Системные требования . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51.2.2 Подготовка к установке . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61.2.3 Особенности настроек гипервизоров . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71.2.4 Процесс установки . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8

1.2.4.1 Установка UTM с USB flash диска . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 151.2.5 Первоначальная настройка . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 161.2.6 Кластеризация . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23

1.3 Настройка . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 371.3.1 Подключение к провайдеру . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37

1.3.1.1 Подключение по Ethernet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 371.3.1.2 Подключение по PPPoE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 421.3.1.3 Подключение по L2TP (VPN) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 441.3.1.4 Подключение по PPTP (VPN) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 451.3.1.5 Подключение по 3G, 4G (LTE) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 481.3.1.6 Одновременное подключение к нескольким провайдерам . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48

1.3.2 Управление пользователями . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 531.3.2.1 Дерево пользователей . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 531.3.2.2 Управление учетными записями пользователей . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 551.3.2.3 Административные учетные записи . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 571.3.2.4 Настройка учетных записей пользователей . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 581.3.2.5 Интеграция с Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61

1.3.2.5.1 Ввод сервера в домен . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 621.3.2.5.2 Импорт пользователей . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 641.3.2.5.3 Авторизация пользователей . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65

1.3.2.6 Проверка пользователя . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 731.3.2.7 Пользователи терминального сервера . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 741.3.2.8 Квоты . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 751.3.2.9 Wi-Fi сети . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75

1.3.3 Типы авторизации . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 761.3.3.1 Авторизация по IP-адресу . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 761.3.3.2 Авторизация по PPTP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 771.3.3.3 Авторизация по PPPoE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 771.3.3.4 Авторизация через Ideco Agent . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 771.3.3.5 Веб-авторизация . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 791.3.3.6 Single Sign-On аутентификация через Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 80

1.3.4 Публикация ресурсов . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 801.3.4.1 Публикация веб-приложений (обратный прокси-сервер) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 801.3.4.2 Настройка почтового релея для публикации сервера в локальной сети . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 811.3.4.3 Портмаппинг (проброс портов, DNAT) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 811.3.4.4 Настройка публичного IP-адреса на компьютере в локальной сети . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 831.3.4.5 Доступ из внешней сети без NAT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85

1.3.5 Мониторинг . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 871.3.5.1 Пересылка системных сообщений . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 871.3.5.2 SNMP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 871.3.5.3 Интеграция с Zabbix . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87

1.3.6 Правила доступа . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 881.3.6.1 Файрвол . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 881.3.6.2 Контроль приложений . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 941.3.6.3 Контент-фильтр . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95

1.3.6.3.1 Настройка фильтрации HTTPS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 961.3.6.3.2 Описание категорий контент-фильтра . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 98

1.3.6.4 Ограничение скорости . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1031.3.6.5 Предотвращение вторжений . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103

1.3.7 Сервисы . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1071.3.7.1 Маршрутизация . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1071.3.7.2 Поиск устройств . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1091.3.7.3 Профили выхода в Интернет . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1091.3.7.4 Пулы IP адресов . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1091.3.7.5 Прокси . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 110

1.3.7.5.1 Исключить IP-адреса из обработки прокси-сервером . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1111.3.7.5.2 Подключение к внешним ICAP-сервисам . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1121.3.7.5.3 Настройка прокси с одним интерфейсом . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 112

1.3.7.6 Почтовый сервер . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1121.3.7.6.1 Подготовка к настройке почтового сервера . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1121.3.7.6.2 Настройка почтового сервера . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1131.3.7.6.3 Настройка почтовых клиентов . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117

1.3.7.6.4 Web-почта . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 120

1.3.7.6.4 Web-почта . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1201.3.7.6.5 Переадресация почты (почтовые алиасы) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1211.3.7.6.6 Дополнительные возможности и антиспам . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1231.3.7.6.7 Настройка почтового релея . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1251.3.7.6.8 Fetchmail . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1251.3.7.6.9 Рекомендации по защите сервера . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1261.3.7.6.10 Схема фильтрации почтового трафика . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127

1.3.7.7 Обратный прокси . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1291.3.7.7.1 Web Application Firewall . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1301.3.7.7.2 Протестированные CMS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 130

1.3.7.8 DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1311.3.7.9 DHCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1321.3.7.10 Туннельные протоколы VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 133

1.3.7.10.1 IPsec . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1331.3.7.10.2 OpenVPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1411.3.7.10.3 PPTP VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1451.3.7.10.4 Подключение к серверу из сети Интернет по VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 148

1.3.7.11 Дополнительно . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1621.3.7.11.1 Доступ по SSH . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1631.3.7.11.2 Центральная консоль . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 164

1.3.8 Отчеты . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1701.3.9 Интеграция UTM и SkyDNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 171

1.4 Обслуживание . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1741.4.1 Регистрация сервера . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1741.4.2 Резервное копирование и восстановление данных . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1761.4.3 Режим удаленного помощника . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1791.4.4 Удаленный доступ для управления сервером . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1801.4.5 Обновление сервера . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 182

1.5 Популярные рецепты . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1861.5.1 Что делать если не работает Интернет . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1861.5.2 Блокировка популярных ресурсов . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1871.5.3 Использование ics_tune.sh . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1891.5.4 Особенности подключения через ADSL-модем . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1911.5.5 Восстановление пароля администратора . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1911.5.6 Выбор аппаратной платформы для Ideco UTM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1941.5.7 Перенос данных и настроек на другой сервер . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1941.5.8 Доступ в удаленные сети через роутер в локальной сети . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1951.5.9 Установка доверенного SSL сертификата на сервер . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2001.5.10 Настройка программы Proxifier для прямых подключений к прокси-серверу . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 201

Об Ideco UTM

Об Ideco UTMШлюз безопасности Ideco UTM – это программное решение, которое позволяет сделать доступ в интернет абсолютно управляемым, безопасным инадежным.

Защита сетевого периметра от внешних угроз: межсетевой экран, , , ,система предотвращения вторжений контроль приложений контент-фильтрмногоуровневая антивирусная и -проверка трафика, защита от ботнетов, фишинга и spyware, – вот далеко не полный списокантиспам VPNвозможностей и сервисов Ideco UTM.

Общая информацияТекущий раздел содержит характеристику возможностей шлюза безопасности Ideco UTM, его назначение и применение, а также включает описаниеархитектуры и принципов работы.

О продукте

Шлюз безопасности Ideco UTM - современное быстро развивающееся российское решение для защиты сетевого периметра. Возможности по глубокомуанализу трафика - системой предотвращения вторжений, контент-фильтром, контролем приложений и другими модулями позволяет создать надежныйбарьер для защиты от современных угроз безопасности.

Техническое описание Ideco UTM доступно по ссылке

Техническая поддержка

Служба технической поддержки

Одним из главных приоритетов компании "Айдеко" является высокий уровень удовлетворенности наших клиентов.

Техническая поддержка – предоставляется в период действия подписки на сервис. Подписка включена в стоимость лицензии и действует в течение годас момента приобретения продукта. После окончания срока действия подписка может быть продлена на срок от 1 года и более.

График работы службы технической поддержки

Техническая поддержка предоставляется 6 дней в неделю, за исключением праздничных дней. График работы представлен ниже.

Дни недели Время работы (московское)

понедельник – пятница 07:00 – 19:00

суббота 09:00 – 16:00

воскресенье и праздничные дни –

В рамках расширенной технической поддержки на договорных условиях, техническая поддержка оказывается .круглосуточно 24x7x365

Способы обращения в службу

Способ Описание

Портал поддержки https://helpdesk.ideco.ru/

Телефон +7 (495) 662-87-34

Электронная почта [email protected]

Форум (для пользователей )бесплатной редакции https://forum.ideco.ru/

Подробнее о подписке на техническую поддержку и обновления можно почитать на сайте компании "Айдеко".

https://ideco.ru/products/ics/specifications/review

https://helpdesk.ideco.ru/

https://forum.ideco.ru/

http://ideco.ru/buy/ics#subscribe

1. 2. 3.

Правила обращения в службу технической поддержки

Техническая поддержка пользователей осуществляется в соответствии с .регламентом

Техническая поддержка оказывается по вопросам настройки продуктов компании "Айдеко".Специалисты службы технической поддержки в рамках оказания услуг по поддержки не занимаются обучением пользователей продуктов.

Лицензирование Ideco UTM

Схема лицензирования

У лицензии Ideco UTM есть две основные характеристики.

Количество пользователей Ideco UTM: одновременно авторизованные (подключенные к Интернет) пользователи локальной сети клиента илиVPN-подключения пользователей, трафик которых проверяется и контролируется шлюзом.

Редакция Ideco UTM (SMB или Enterprise): набор доступных к использованию модулей в системе.

Различия между редакциями Ideco UTM опубликованы на сайте: https://ideco.ru/products/ics/editions

Срок действия лицензии

Право на использование лицензии действует 5 лет с момента приобретения (согласно п.4, статья 1235 ГК РФ).Лицензия имеет подписку, по окончании которой начинают действовать ограничения:

Перестает оказываться техническая поддержка сервера по этой лицензии.Обновления сервера до версий, вышедших после даты окончания подписки, становятся невозможны.Перестают работать модули, привязанные к сроку действия подписки на лицензию (система предотвращения вторжений, контент-фильтр,контроль приложений, антивирус и антиспам Касперского).

На остальную функциональность сервера ограничения подписки не распространяются.

Стандартная стоимость лицензии включает годовую подписку. Иные сроки подписки и результирующая стоимость лицензии обсуждаются в отделепродаж компании «Айдеко».

Контроль и учет сетевых устройств на UTM

Для доступа сетевого устройства (хоста) в Интернет через UTM с возможностью контроля его трафика, оно должно быть авторизовано на UTMпод учетной записью пользователя.Под одной учетной записью пользователя на Ideco UTM можно авторизовать до трех хостов с помощью различных методов авторизации.Количество приобретенных по лицензии учетных записей ограничивает число одновременно авторизованных пользователей.Учетная запись поддерживает одновременную авторизацию только трех хостов.Сессия авторизации учетной записи привязана к IP-адресам хостов на протяжении действия сессии.Учетная запись может быть авторизована несколькими способами авторизации (но только одно устройство может быть авторизовано по IP пододной учетной записью пользователя).Неавторизованный на UTM хост не имеет доступа во внешние сети.Сессии авторизации пользователя не проявляющие активность более 15 минут завершаются и могут быть заняты новыми сессиямипользователей. Таким образом обеспечивается конкурентность процесса авторизации пользователей на UTM.

Бесплатные лицензии

Любой желающий может получить бесплатную лицензию (редакция SMB), в том числе для использования в коммерческих и частных сетях.UTM, активированный лицензией SMB, позволяет авторизовать не более 40 пользователей (редакция Ideco SMB). Подробнее https://smb.ideco.ru

Получить лицензию SMB можно в личном кабинете:https://my.ideco.ru

Антиспам Касперского: приобретается и лицензируется отдельно от основной лицензии UTM и ее коммерческих компонентов. Активируется ключом,

При обращении будьте готовы предоставить специалистам следующую информацию:

название организации;ваши контактные данные;номер лицензии.

https://ideco.ru/support/reglament

https://ideco.ru/products/ics/editions

https://smb.ideco.ru

https://my.ideco.ru

Антиспам Касперского: приобретается и лицензируется отдельно от основной лицензии UTM и ее коммерческих компонентов. Активируется ключом,предоставленным в отделе продажкомпании «Айдеко» после покупки антиспама.

УстановкаТекущий раздел содержит информацию о минимальных системных требованиях, описывает процесс установки Ideco UTM, включая подготовительныеэтапы. Информация, представленная здесь, позволяет произвести первоначальную настройку.

Также вы можете посмотреть видео-записи вебинаров:

Установка и первоначальная настройка Ideco UTMНастройка модулей фильтрации трафика

Текстовые инструкции:

Системные требования

Минимальные системные требования

Минимальные требования, предъявляемые Ideco UTM к оборудованию, представлены ниже в таблице.

Минимальные системные требования Примечание

Процессор Intel Pentium G/i3/i5/Xeon E3/XeonE5с поддержкой инструкций SSE 4.2

Требования могут варьироваться в зависимости от сетевой нагрузки и используемых сервисов,таких как контентная фильтрация, антивирусы и система предотвращения вторжений. Дляработы системы требуется минимум два, лучше четыре ядра процессора.

Объемоперативнойпамяти

4 Гб.

При использовании системы илипредотвращения вторжений

антивирусов, минимальный объем:8 Гб.

Дисковаяподсистема

Жесткий диск или SSD объемом64 ГБ или больше с интерфейсомSATA, SAS либо совместимыйаппаратный RAID.

Не поддерживаются программные RAID-контроллеры (интегрированные в чипсет илиматеринскую плату).При использовании аппаратных RAID-контроллеров настоятельно рекомендуем использоватьплату с установленным аккумулятором, иначе высока вероятность краха RAID-массива.Не поддерживаются диски объемом выше 2 Тб.

Сетевыеадаптеры

Два сетевых адаптера. Рекомендуются сетевые адаптеры, основанные на чипсетах 3Com, Broadcom, Intel или Realtekсо скоростью 100/1000 MBps.

Дополнительно Монитор.Клавиатура.

Для установки и работы Ideco UTM не требуется предустановленная ОС и дополнительноепрограммное обеспечение. Ideco UTM устанавливается на выделенный сервер с загрузочногоCD или USB-flash, при этом автоматически создается файловая система и устанавливаютсявсе необходимые компоненты.

Поддержка гипервизоров

Microsoft Hyper-V (1-го поколения), VMware, VirtualBox, KVM, Citrix XenServer. Подробнее об .особенностях настройки

Примеры конфигураций

Примеры нескольких типов конфигураций, зависящие от количества пользователей, представлены ниже в таблице.

Количествопользователей

25 50-100 100-500 1000 2000

Для оптимального выбора аппаратной платформы рекомендуем обратить внимание на по подбору оборудования для IdecoрекомендацииUTM

Примерный объем необходимого места на диске для хранения статистики веб-отчетности для 1000 пользователей за 1 год составляет 10-15Гб.

https://youtu.be/kiJAl16RkI0

https://youtu.be/QxwQBrzBa10

https://ru.wikipedia.org/wiki/SSE4

1. 2. 3. 4.

5. 6.

Модель процессора Intel Pentium G4560 илисовместимый

Intel i3 7100 илисовместимый

Intel i5, i7, Xeon E3 от 3 ГГц илисовместимый

Intel Xeon E3, E5 илисовместимый

Intel Xeon E5 илисовместимый 8-ядерный

Объемоперативнойпамяти

4 Гб (рекомендуется 8 Гб) 8 Гб 16 Гб 16 Гб 32 Гб

Дисковаяподсистема

64 Гб 64 Гб 500 Гб 2x1000 Гб, аппаратныйRAID

2x1000 Гб, аппаратный RAID

Сетевые адаптеры Два сетевых адаптера

Скорость обработки трафика

По синтетическим стресс-тестам при проверке большого количества веб-трафика (в реальных условиях общее количество фильтруемого трафика можетбыть в 1,5-2 раза выше, т.к. именно веб-трафик вызывает наибольшую нагрузку модулей глубокого анализа трафика). Межсетевой экран с созданнымипо-умолчанию правилами включен во всех тестах.

Сервер CF+KAV CF+KAV+AC CF+IPS+KAV+AC

Ideco SX+(i5-4200U, 8Gb DDR3)

464 Мбит 416 Мбит 88 Мбит

i5-7400, 16Gb DDR4 720 Мбит 608 Мбит 130 Мбит

Ideco MX(Xeon E3-1240v6, 16Gb DDR4)

720 Мбит 660 Мбит 230 Мбит

CF - контент-фильтр (расширенный, с включенными правилами по всем категориям трафика).KAV - антивирус Касперского для веб-трафика.AC - контроль приложений (с включенными правилами по 20 приложениям).IPS - система предотвращения вторжений (с включенными правилами всех категорий).

Подготовка к установке

Варианты установки

Вы можете установить Ideco UTM на отдельный сервер или на виртуальную машину. Выбор варианта установки зависит от предполагаемой нагрузки имощности оборудования.

Установка на отдельный сервер

Для установки шлюза безопасности Ideco UTM вам необходимо выполнить следующие действия:

Подготовьте оборудование, отвечающее .системным требованиямПодготовьте чистый CD-R/RW диск или USB-flash drive объемом не менее 1 Гб.Скачайте ISO-образ из личного кабинета пользователя: my.ideco.ruВ целях обеспечения безопасности рекомендуется проверить контрольные суммы загруженного файла, которые можно найти на страницезагрузки Ideco UTM в личном кабинете.Запишите ISO-образ на чистый CD-R/RW диск или на .USB-flash driveВ параметрах BIOS компьютера выберите загрузку с CD/DVD-привода или USB-flash drive и начните загрузку системы с приготовленногоносителя. На экране монитора должен появиться установщик Ideco UTM, как проиллюстрировано ниже. UEFI нужно переключить в Legacyрежим.

https://my.ideco.ru

Дальнейший процесс установки описан в разделе "Установка".

Особенности настроек гипервизоров

Ideco UTM поддерживает работу на следующих гипервизорах: VMware (Workstation и ESXi), Microsoft Hyper-V (1-го поколения), VirtualBox, KVM,Citrix XenServer. Для работы на виртуальных машинах нет необходимости в установке дополнительных драйверов или утилит на Ideco UTM.

Возможные особенности настроек виртуальных машин описаны в данной статье.

Общие рекомендации

Тип ОС для создания виртуальной машины: Linux Centos 6, 64 bit.

При настройке виртуального жесткого диска сразу же выберите его оптимальный размер (не менее 64 Гб), динамическое расширение жесткого диска вдальнейшем будет невозможно без переустановки системы.

Минимальное количество оперативной памяти для работы сервера: 4 Гб (рекомендуется 8 и более).

Время на виртуальной машине должно соответствовать реальному (с учетом часового пояса).

Обязательно использование двух сетевых интерфейсов, адресация которых не должна пересекаться (не используйте IP-адреса на локальном и внешнеминтерфейсах из одной подсети, в таком режиме сервер не может быть использован в качестве шлюза).

Microsoft Hyper-V

Поддерживается только первое поколение виртуальных машин.

В дистрибутив Ideco UTM начиная с версии 7.6.0 включены гостевые дополнения для данного гипервизора.

Для работы модулей "Контроль приложений" и "Ограничения скорости" используйте "Устаревший сетевой адаптер".

На некоторых сетевых картах возможны проблемы со скоростью сети на виртуальной машине. Решением проблемы будет отключить "Очередивиртуальной машины" в свойствах сетевого адаптера.

VMware ESXi

Перед установкой Ideco UTM необходимо увеличить размер видеопамяти для виртуальной машины (по умолчанию, 4 мегабайта), до 16 мегабайт.

Не рекомендуется использовать в качестве сетевых интерфейсов типы устройств "Virtio" и "VLAN". Рекомендуется использовать адаптеры типа "Intel1000/1000e".


Citrix XenServer

Гостевые дополнения


Загрузка с установочного носителя

Иногда xenserver не может понять что нужно загружаться с ISO-образа.Выполните . Эта команда покажет список виртуальных машин на xenserver.xe vm-listНайдите виртуальную машину с UTM и запомните ее .UUIDЗатем выполните: xe vm-param-set uuid=< > HVM-boot-policy=BIOS\ order HVM-boot-params:order=dcUUIDПосле чего загрузка с установочного носителя должна пойти.

Процесс установки

Этап 1. Режим установки

Теперь настало время перейти непосредственно к установке интернет-шлюза. Установщик Ideco UTM выводит краткую справку, включающую в себяинформацию о командах:

memtest – проверка оперативной памяти компьютера;setup – запуск процесса установки Ideco UTM с использованием стандартного ядра.

В нижней части экрана вы можете обнаружить строку с приглашением для ввода команды, она начинается со слова boot. С помощью этой строки выможете отдавать загрузчику команды. Загрузчик передаст управление установщику Ideco UTM, описанному в этом подразделе. Загрузчикинтернет-шлюза Ideco UTM проиллюстрирован в подразделе " ". Подготовка к установке

Приступим к установке интернет-шлюза. Для этого достаточно нажать клавишу "Enter ."

Этап 2. Начало установки

В первую очередь необходимо определиться с типом установки. Возможные варианты:

Установка – первоначальная установка, подходит для большинства пользователей.Обновление – предназначена для обновления более старых версий интернет-шлюза.Восстановление – предназначен для восстановления работоспособности и требуется в случаях возникновения сбоя, который привел кнеработоспособности интернет-шлюза.

Если необходимо проверить работоспособность оперативной памяти, например, когда сервер периодически зависает по непонятнымпричинам, введите команду memtest. Произойдет запуск специальной программы тестирования, которую мы рекомендуем оставитьзапущенной на 3-4 часа.

Пользовательские настройки при восстановлении и обновлении шлюза сохраняются.

Выберем пункт и нажмем кнопку . Меню выбора типа установки показано показано на снимке экрана ниже:"Установка" "OK"

Система предупреждает о том, что при установке будут уничтожены все данные, которые хранятся на жестком диске. Предупреждение об уничтоженииданных изображено на следующем снимке экрана. Рекомендуем вам убедиться в том, что диск не содержит важной информации, так как еёвосстановление будет невозможно. Для продолжения нажмите кнопку "Да ."

Внимательно прочтите лицензионное соглашение с конечным пользователем на использование программного продукта. Нажатие кнопки "Согласен буд"ет свидетельствовать о том, что вы согласны со всеми его положениями. Лицензионное соглашение представлено на следующем снимке экрана.

Далее необходимо выбрать часовой пояс, дату и указать время. Убедившись, что все настройки верны, нажмите кнопку ."Продолжить"

Теперь система предложит вам настроить локальный сетевой интерфейс. Локальным считается интерфейс, к которому будет подключена локальная сетьвашего предприятия. Для настройки локального интерфейса вам потребуется выбрать сетевой адаптер, к которому планируется подключить локальнуюсеть. Второй свободный адаптер будет, соответственно, использован для подключения к сети вашего интернет-провайдера. Меню настройки локальногосетевого интерфейса проиллюстрировано ниже.

При определении локального интерфейса вы можете столкнуться со сложностями идентификации сетевой карты. Иногда у нескольких адаптеров можетбыть один и тот же производитель. В этом случае для правильного выбора необходимо будет идентифицировать устройство по его MAC-адресу. Небойтесь ошибиться, в дальнейшем вы сможете изменить эти настройки.

Когда локальный интерфейс определен, необходимо его настроить. Назначьте IP-адрес и маску сети, используемые для адресации в локальной сетипредприятия. Именно по этим сетевым реквизитам будут доступны службы Ideco UTM, такие как почтовый или web-сервер. Процесс назначениясетевых реквизитов вы можете увидеть на снимке экрана ниже. После завершения настройки локального сетевого интерфейса нажмите кнопку "ОК ."

Система произведет необходимые для установки тесты дисковой подсистемы. Создание таблицы разделов и их форматирование будет осуществлено вавтоматическом режиме. После завершения создания разделов начнется копирование системных файлов на диск. Этот процесс, отображенный ниже,обычно занимает 5-15 минут. Копирование проходит в автоматическом режиме. После его завершения мастер установки автоматически настроитосновные параметры системы в соответствии с конфигурацией вашего компьютера.

Поздравляем! Установка успешно завершена. Перед вами информация о реквизитах доступа к интерфейсу администратора Ideco UTM, котораяпоказана на следующем снимке экрана. По умолчанию в системе присутствует учётная запись аdministrator со стандартным паролем. Используйте её длядальнейшего управления интернет-шлюзом. Запомните или запишите реквизиты доступа и нажмите кнопку "OK ."

Завершающим шагом является перезагрузка компьютера. Нажмите кнопку "OK ."

После перезагрузки можно приступать к дальнейшему конфигурированию Ideco UTM. Этот процесс рассмотрен в разделе "Первоначальная настройка

Обязательно смените стандартный пароль учетной записи аdministrator сразу после перезагрузки компьютера на этапе первоначальнойнастройки (см. раздел "Первоначальная настройка").

Также обязательно установите пароль доступа в локальную консоль сервера, после его первоначальной загрузки.

Не забудьте извлечь носитель с дистрибутивом после завершения установки UTM.

1. 2. 3.

После перезагрузки можно приступать к дальнейшему конфигурированию Ideco UTM. Этот процесс рассмотрен в разделе "Первоначальная настройка".

Установка Ideco UTM с USB flash носителя

Ideco UTM можно установить с flash-накопителя, записав установочный ISO-образ на него. В описан процесс подготовки установочногоэтой статьеflash-накопителя для установки Ideco UTM с него.

Установка UTM с USB flash диска

Создание загрузочного USB flash диска с Ideco UTM в среде Windows.

Для того чтобы создать загрузочный USB flash диск в Windows и записать на него установочный образ Ideco UTM в Microsoft Windows, нужно:

В BIOS сервера включить загрузку с flash диска.

Скачать утилиту с сайта ( )pendrivelinux.com http://www.pendrivelinux.com/universal-usb-installer-easy-as-1-2-3/Взять отформатированный в FAT32 usb flash диск объёмом более 1 гб.Создать загрузочный usb flash диск. Примите лицензионное соглашение. На следующем шаге выбрать "Unlisted Linux ISO" и указать путь кISO образу Ideco UTM как показано на иллюстрациях ниже.

http://pendrivelinux.com

http://www.pendrivelinux.com/universal-usb-installer-easy-as-1-2-3/

3.

4. 5.

В BIOS сервера включить загрузку с flash диска. Загрузить сервер с созданного flash диска. Будет запущен мастер установки Ideco UTM.

Далее действуйте согласно инструкции мастера установки. Подробнее шаги по установке Ideco UTM описаны в разделе документации "Установка".

Создание загрузочного USB flash диска с Ideco UTM в среде Linux.

Для создания загрузочного USB flash диска в Linux достаточно поблочно скопировать ISO-образ Ideco UTM на устройство. Например с помощьюстандартной утилиты Linux - ."dd"

Первоначальная настройка

Загрузка Ideco UTM

При запуске системы вы увидите на экране меню загрузчика Ideco UTM. Через несколько секунд загрузка системы продолжится автоматически.

Смотрите по первоначальной настройке Ideco UTM 7.7.запись вебинара

https://youtu.be/kiJAl16RkI0

При успешной загрузке Ideco UTM вы увидите на экране приглашение для смены пароля локального меню. Установите пароль.

Теперь, когда процесс загрузки завершился, пришло время перейти к конфигурированию интернет-шлюза. Запустите на любом компьютере локальнойсети интернет-браузер, например Mozilla Firefox или Google Chrome и перейдите по тому локальному IP-адресу, который вы указали при установке внастройках локального сетевого интерфейса.

Так как подключение к web-интерфейсу осуществляется с применением шифрования, интернет-браузер может выдать ошибку о том, что сертификатбезопасности не был выпущен доверенным центром сертификации. В таком случае вам необходимо продолжить соединение, нажав на соответствующуюкнопку. В браузерах, отличных от Mozilla Firefox, ошибка может выглядеть иначе, но принцип её устранения тот же. Процесс подключения кадминистративному web-интерфейсу Ideco UTM показан ниже.

Если вы все сделали правильно, то в окне интернет-браузера сможете увидеть приглашение для входа в панель управления. В качестве именипользователя используйте administrator, а в качестве пароля – servicemode.

После первого входа системой будет предложено настроить внешний интерфейс и зарегистрировать сервер. А также ссылки на соответствующиестраницы документации.

Настройка подключения к интернет-провайдеру

Настроить внешние интерфейсы сервера можно в меню Сервер - Интерфейсы.

Обязательно смените пароль для входа в веб-интерфейс:

Настроить внешние интерфейсы сервера можно в меню Сервер - Интерфейсы.

Рассмотрим процесс настройки для Ethernet-подключения.

Данный тип подключения требует настройки параметров, описанных ниже в таблице.

Параметры для подключения по Ethernet

Внешнийинтерфейс

В случае, если в компьютере установлено более двух сетевых адаптеров, необходимо указать сетевой адаптер, который будетиспользоваться для подключения к интернет-провайдеру. Для идентификации адаптера вы можете ориентироваться нанаименование производителя или MAC-адрес.

IP-адрес имаска внешнегоинтерфейса

Сетевые реквизиты, которые были назначены провайдером внешнему сетевому интерфейсу. Укажите IP-адрес и сетевую маску вформате CIDR или четырех октетов.

Шлюз поумолчанию

Укажите IP-адрес шлюза интернет-провайдера, через который будет осуществляться подключение к сети Интернет.

Если ваш провайдер поддерживает автоматическое конфигурирование внешнего сетевого интерфейса с помощью протокола DHCP, то отметьте пункт "."Автоматическая конфигурация через DHCP

Настройка Ethernet-подключения показана на фрагменте экрана ниже.

Если ваш провайдер использует другой тип подключения, то ознакомиться с инструкциями по настройке вы можете по ссылкам:

Подключение по протоколу PPPoE

Подключение по технологии VPN (с использованием протокола PPTP)

Подключение по L2TP

Настройки администратора

Главный Администратор системы имеет полный набор прав доступа, необходимый для успешного управления интернет-шлюзом. Данный аккаунтиспользуется только для входа в веб-интерфейс Ideco UTM. Авторизация главного администратора по VPN и другими способами невозможна.

Дополнительные настройки безопасности администратора сервера можно настроить на вкладке . -

E-mail Администратора – адрес электронной почты, на который будут отправляться оповещения о различных системных событиях, таких какперезагрузка сервера, недостаток свободного места на диске и т.д. Можно указывать несколько e-mail адресов, разделяя их точкой с запятой.

IP-адрес компьютера администратора – IP-адрес компьютера, с которого может осуществляться подключение к панели управления. По умолчаниюадминистративный интерфейс доступен с любого IP-адреса. Если политика безопасности требует, чтобы административная часть была доступна только сконкретного IP-адреса, то вы можете указать его здесь.

На этом первоначальная настройка сервера закончена. После перезагрузки сервера можно переходить к настройке авторизации и .пользователей служб

Кластеризация

Для обеспечения отказоустойчивости возможна работа Ideco UTM на кластере виртуализации.

Системные требованияСистемные требования для нодов кластераСистемные требования для хранилища CEPH

Установка

Настройка CEPH

1. 2. 3.

4.

5.

6.

Настройка CEPHНастройка сети для CEPHСоздание CEPH мониторовСоздание CEPH osdsСоздание Ceph пулаДобавление хранилища для Proxmox

Установка Ideco UTM на кластерЗагрузка ISO файла для установкиСоздание виртуальной машины

Системные требования

Системные требования для нодов кластера

Все ноды должны располагаться в пределах одной подсетиДата и время на всех нодах должно быть синхронизированоДля управления и синхронизации нодами использует ssh-тунель на 22 портуМинимальное количество физических серверов: три

Системные требования для хранилища CEPH

Для хранилища должна быть использована отдельная сетьSSD-диск для журнала файловой системыЖесткий диск для хранения данныхЖесткий диск для proxmox и ceph monitorЖелательна 10-гигабитная сеть между нодами

Установка

Установите на ноды кластераProxmox Virtual EnvironmentЗалогиньтесь по SSH (root) на первую ноду. Для создания кластера используйте уникальное имя (его нельзя будет изменить)На первой ноде выполните команду:pvecm create YOUR-CLUSTER-NAME

Для проверки статуса кластера можно использовать команду:pvecm statusДля добавления второй ноды выполните следующие:– залогиньтесь на вторую ноду посредством SSH– выполните команду , где ip-address-cluster это айпи адрес первой ноды. Напримерpvecm add IP-ADDRESS-CLUSTER

pvecm add 192.168.1.1

Для проверки состояния кластера используйте командуpvecm statusДля добавления третьей ноды в кластер выполните следующие

– залогиньтесь на третью ноду посредством SSH- выполните команду , где ip-address-cluster это айпи адрес первой ноды. Например:pvecm add IP-ADDRESS-CLUSTER

pvecm add 192.168.1.1

Для проверки состояния кластера используйте командуpvecm status

Для отображения нод кластера используйте командуpvecm nodesЗалогиньтесь в веб-интерфейс proxmox (информация об ip-адресе и порте веб-интерфейса доступна в консоли proxmox)В правом верхнем углу должны быть отражены все добавленные нами ноды

https://www.proxmox.com/en/proxmox-ve

6.

Настройка CEPH

Ceph — отказоустойчивое распределенное хранилище данных, работающее по протоколу TCP. Одно из базовых свойств Ceph — масштабируемость допетабайтных размеров. Ceph предоставляет на выбор три различных абстракции для работы с хранилищем: абстракцию объектного хранилища (RADOSGateway), блочного устройства (RADOS Block Device) или POSIX-совместимой файловой системы (CephFS).

Абстракция блочного устройства (в оригинале — RADOS Block Device, или RBD) предоставляет пользователю возможность создавать и использоватьвиртуальные блочные устройства произвольного размера. Программный интерфейс RBD позволяет работать с этими устройствами в режимечтения/записи и выполнять служебные операции — изменение размера, клонирование, создание и возврат к снимку состояния итд.

Официальная документация

Настройка сети для CEPH

Для примеров настройки будет использована сеть 192.168.1.0/24

На всех трех нодах должна быть настроена отдельная сеть через файл /etc/network/interfaces

node1:

auto eth2iface eth2 inet static address 192.168.1.1 netmask 255.255.255.0

node2:

http://docs.ceph.com/docs/master/install/

auto eth2iface eth2 inet staticaddress 192.168.1.2netmask 255.255.255.0

node3:

auto eth2iface eth2 inet staticaddress 192.168.1.3netmask 255.255.255.0

После настройки убедиться, что свзяь между нодами через отдельную сеть имеется

Установка ceph пакетов:

- Залогиниться по ssh на каждую ноду и выполнить команду:

pveceph install -version hammer

Пример:

node1# pveceph install version hammer



Первоначальная инициализация ceph:

- Залогиниться на первую ноду и выполнить команду:

pveceph init —network 192.168.1.0/24

Эта команда создает первоначальный конфиг /etc/pve/ceph.conf

Посредством Proxmox этот файл автоматически переносится на все ноды кластера

Создание CEPH мониторов

Mon (Monitor) — элемент инфраструктуры Ceph, который обеспечивает адресацию данных внутри кластера и хранит информацию о топологии,состоянии и распределении данных внутри хранилища. Клиент, желающий обратиться к блочному устройству rbd или к файлу на примонтированнойcephfs, получает от монитора имя и положение rbd header — специального объекта, описывающего положение прочих объектов, относящихся кзапрошенной абстракции (блочное устройство или файл) и далее общается со всеми OSD, участвующими в хранении файла.

1) Монитор ceph должен быть создан на каждой ноде

Для создания ceph монитора просто введите на каждой ноде команду

# pveceph createmon

2) Перейдите в веб-интерфейс proxmox

3) Выберите любую ноду из кластера

4) Выберите вкладку «Ceph»

5) Выберите подвкладку «Monitor»

Создание CEPH osds

OSD (object storage daemon) — сущность, которая отвечает за хранение данных, основной строительный элемент кластера Ceph. На одном физическомсервере может размещаться несколько OSD, каждая из которых имеет под собой отдельное физическое хранилище данных.

1) Диски должны быть чистые, без каких-либо данных

2) Перейдите в веб-интерфейс proxmox

3) Выберите первую ноду из кластера

4) Выберите вкладку «Ceph»

5) Выберите подвкладку «Disks»

6) Выберите нужный диск, нажмите Create:OSD

7) В появившемся диалоговом окне укажите отдельный SSD-диск для журнала CEPH

Перед фиксацией данных на устройстве хранения, Ceph вначале записывает данные в отдельную область хранения, называемую журналом а затем, незадерживая клиента, асинхронно переносятся в персистентное файловое хранилище. Поэтому размещение журнала на SSD, которое рекомендовано вдокументации Ceph, многократно ускоряет операции записи.

8) Повторите действия для оставшихся двух нод

Создание Ceph пула

Ceph pool — пул объединяет несколько OSD в один кластер.

Плейсмент-группа (Placement Group, PG) — логическая группа, объединяющая множество объектов, предназначенная для упрощения адресации исинхронизации объектов. Каждый объект состоит лишь в одной плейсмент группе. Количество объектов, участвующих в плейсмент-группе, нерегламентировано и может меняться.

Избыточность хранения данных (поле size в веб-интерфейсе proxmox) - определяет сколько копий одного и того же объекта хранит кластер.

Минимальный размер для операций ввода\вывода (поле min_size в веб-интерфейсе proxmox) - устанавливает минимальное количество доступныхреплик, необходимых для осуществлений операций ввода вывода.

1) Выбрать любую ноду из кластера

2) Перейти на вкладку «ceph»

3) Перейти на вкладку «pools»

4) Удалить уже существующие пулы

5) Нажать «Create»

6) Задать имя, выбрать size 2, min size 1, pg_num 128

Пул создан.

Добавление хранилища для Proxmox

1) Выберите «Datacenter»

2) Выберите вкладку «Storage»

3) Нажмите «ADD → RBD»

4) В поле ID введите имя хранилища

5) В поле pool введтие название созданного нами пула (в примере — cephpool)

6) В поле Monitor Host введите ip-адреса мониторов ceph.

Например:

192.168.1.1;192.168.1.2;192.168.1.3

192.168.1.1;192.168.1.2;192.168.1.3

7) Также вам необходимо скопировать keyring файл в определенный каталог.

Название файла должно быть storage_id.keyring . Storage id — имя хранилища, заданное в пункте 4

Для этого необходимо выполнить следующие команды в терминале:

# cd /etc/pve/priv/

# mkdir ceph

# cp /etc/ceph/ceph.client.admin.keyring ceph/cephstorage.keyring

После этих действие хранилище должно быть доступно для использования всеми нодами кластера

Установка Ideco UTM на кластер

Загрузка ISO файла для установки

1) Выберите ноду, на которую в последствии будет осуществлена установка

2) Выберите локальное хранилище

3) Перейдите на вкладку «Content»

3) Перейдите на вкладку «Content»

4) Нажмите «Upload»

5) Дождитесь загрузки iso файла в хранилище

Создание виртуальной машины

1) Выберите ноду, на которую будет осуществлена установка

2) В левом верхнем углу нажмите кнопку «Create VM»

3) Откроется мастер создания виртуальных машин

4) На вкладке «General» задайте имя виртуальной машины в поле «Name»

5) На вкладке «OS» выберите Linux 4.X/3.X/2.6 kernel (I26)

6) На вкладке «CD/DVD» выберите ISO для установки

7) В окне выбора жесткого диска выберите следующие параметры:

– Bus/Device — SCSI

– Storage — ранее созданное хранилище CEPH, в примере cephstorage

– Cache — writeback

– Disk size – в зависимости от емкости ваших жестких дисков

8) На вкладке CPU установите количество ядер виртуальной машины = количеству ядер процессора

9) На вкладке «Memory» выделите виртуальной машине нужное количеству ОЗУ

10) На вкладке «Network»

- тип карт virtio

- bridged mode, бридж — одна сетевая карта локальная сеть, другая внешняя

11) После этого выбрать виртуальную машину

Перейти на вкладку «Options»

Выбрать тип SCSI контролера - VIRTIO

Рекомендуемые параметры ProxMox:

1) Жесткие диски — scsi. Контролер scsi — virtio

2) Сетевые карты — только virtio

3) Количество ядер cpu — должно соответствовать количеству ядер физического процессора.

4) После установки UTM обязательно отмонтировать ISO-образ. Иначе миграция виртуальной машины будет невозможна.

НастройкаРаздел включает в себя информацию о настройке модулей Ideco UTM.

Подключение к провайдеру

Существует несколько типов подключения к провайдеру посредством различных протоколов, описанных в текущем подразделе.

Подключение по Ethernet

Прямое подключение по Ethernet является наиболее распространённым. Для настройки подключения в web-интерфейсе необходимо перейти в меню Се. Вы увидите перечень существующих сетевых интерфейсов, представленный на фрагменте экрана ниже. Для корректной работырвисы -> Интерфейсы

интернет-шлюза необходимо, как минимум, два Ethernet-интерфейса.

Для подключения к интернет-провайдеру используется внешний интерфейс, в то время как внутренний необходим для подключения к локальной сетипредприятия.

Ручная настройка

Выберите в списке внешний Ethernet-интерфейс. Ниже на экране появятся его параметры, которые вам необходимо определить. Перечень параметровможно увидеть в следующей таблице. Как правило, вся необходимая информация содержится в договоре с вашим интернет-провайдером.

Для оптимизации производительности во время перестройки кластера (на случай отказа одной из нод) необходимо добавить следующиепараметры в /etc/pve/ceph.conf:

osd client op priority = 63

osd recovery op priority = 1

osd max backfills = 1

osd recovery max active = 1

osd recovery threads = 1

Параметр Описание

Имяинтерфейса

Укажите любое имя, с помощью которого вы будете в дальнейшем идентифицировать интерфейс, например ISP.

Включен Отметьте для того, чтобы активировать интерфейс.

Роль Выберите "Внешний ."

Сетевая карта Выберите из списка сетевой адаптер, который будет использоваться для подключения к интернет-провайдеру.

IP-адреса Вы можете назначить на интерфейс несколько IP-адресов. Для этого укажите IP-адрес, маску сети и нажмите кнопку "Добавить . Как"минимум, должен быть указан хотя бы один IP-адрес.

Шлюз поумолчанию

Укажите IP-адрес шлюза по умолчанию.

Основной Отметьте для того, чтобы сделать интерфейс основным.

Резервный Отметьте для того, чтобы данный интерфейс был резервным. Трафик будет идти через него в случае не работоспособностиосновного интерфейса.

Полосапропускания

Максимальная скорость интернет-трафика по тарифу провайдера. Введите ее только в случае необходимости использованиябалансировки каналов.

Настройки внешнего Ethernet-интерфейса показаны ниже.

Интерфейс, помеченный как основной, используется по умолчанию для обработки трафика пользователей. Это нужно в случае, когда в IdecoUTM создано несколько Ethernet-интерфейсов с ролью External.

Автоматическая настройка

Если ваш интернет-провайдер поддерживает возможность автоматической настройки Ethernet-интерфейса с помощью протокола DHCP, то вы можетевоспользоваться им. Для этого выберите в списке внешний Ethernet-интерфейс, параметры которого появятся на фрагменте ниже. Нажмите кнопку "До

и отметьте пункт .полнительные настройки" "Автоматическая конфигурация через DHCP-сервер"

После заполнения всех полей ещё раз убедитесь в корректности введённых значений. Если вся информация указана верно, нажмите кнопку "Сохранить для завершения настройки подключения к интернет-провайдеру."

Для отслеживания состояния соединения перейдите в раздел "Сервисы - Интерфейсы". Если связь с провайдером установлена, то у интерфейса долженпоявиться статус "Подключен", подсвеченный зеленым. Так же у подключенного интерфейса всегда есть "Актуальный IP-адрес".

VLAN

При указании VLAN ID в поле Ethernet-интерфейса, UTM начинает присутствовать в этом VLAN. Такой сетевой интерфейс считаетсяVLANVLAN-интерфейсом.

Можно создать неограниченное количество VLAN-интерфейсов (Ethernet-интерфейс с указанным VLAN ID) на одном физическом сетевом устройстве.У них в поле может быть назначено одно и то же устройство.Сетевая карта

Обычные Ethernet-интерфейсы, без указания VLAN ID, создаются на физическом интерфейсе только в единичном экземпляре.

Присутствуя в VLAN, UTM принимает трафик тегированый этим VLAN ID на программном интерфейсе с соответствующим VLAN ID.

Пример: UTM должен присутствовать в трех VLAN локального сегмента сети подключенного к сетевой карте на UTM (VLAN ID: 100, 101 и 102).Нужно создать три Ethernet-интерфейса с ролью Local с указанием соответствующих VLAN ID в поле . В поле у всех трехVLAN Сетевая картаинтерфейсов выбрать физический интерфейс локального сегмента сети.

При этом так же может быть создан один Ethernet-интерфейс без указания VLAN принадлежащий этому сегменту сети, который будет приниматьнетегированный трафик.

Подключение по PPPoE

Подключение с применением протокола PPPoE традиционно используется провайдерами, предлагающими подключение через xDSL. Для настройкитакого подключения в web-интерфейсе необходимо перейти в меню . Создайте новый интерфейс. Для этого в списке сетевыхСервисы -> Интерфейсыинтерфейсов нажмите кнопку . В появившемся меню выберите тип интерфейса и нажмите кнопку "Добавить" "PPPoE - подключение по PPPoE" "Создат

. Меню выбора подключения по PPPoE представлено ниже на фрагменте экрана.ь"

Обратите внимание на то, что в списке интерфейсов появился интерфейс PPPoE, выберите его. Теперь нам предстоит определить все параметры,необходимые для подключения к интернет-провайдеру по протоколу PPPoE. Перечень параметров представлен в таблице ниже.


Основной Отметьте для того чтобы сделать интерфейс основным. Это нужно в случае, когда у вас несколько интерфейсов с ролью "Внешний ."

Резервный Отметьте для того чтобы сделать интерфейс резервным. При неработоспособности основного интерфейса трафик пойдет черезданный интерфейс.

Названиеинтерфейса

Укажите любое имя, с помощью которого вы будете в дальнейшем идентифицировать интерфейс, например ISP_PPPoE.

Сетевая карта Укажите сетевой адаптер, с которого будет устанавливаться PPPoE-соединение

Логин Укажите имя пользователя для подключения по PPPoE.

Пароль Укажите пароль.

Сервис Укажите идентификатор сервиса. Если вы не знаете, что указывать, оставьте поле пустым.

Концентратор Укажите идентификатор концентратора. Если вы не знаете, что указывать, оставьте поле пустым.


Максимальная скорость интернет-канала по тарифу провайдера. Укажите только в том случае, если настраиваете балансировкуинтернет-каналов.

Проверка связи Укажите в этом поле адрес любого популярного внешнего ресурса (если не указано, по-умолчанию используется адрес 8.8.8.8), этот адрес нужно указывать только для настройки резервирования или балансировки каналов.

MTU Задайте размер MTU (по умолчанию этого делать не надо, поскольку большинство подключений проходят при стандартномразмере MTU).

Настройки подключения по PPPoE показаны ниже.

После заполнения всех полей ещё раз убедитесь в корректности введённых значений. Если вся информация указана правильно, нажмите кнопку "Сохра. Для завершения настройки подключения требуется выполнить перезагрузку Ideco UTM.нить"

Для отслеживания состояния соединения перейдите в раздел "Сервисы - Интерфейсы". Если связь с провайдером установлена, то у интерфейса долженпоявиться статус "Подключен", подсвеченный зеленым. Также у подключенного интерфейса всегда есть "Актуальный IP-адрес".

Внешний интерфейс Ethernet в данной схеме подключения нужен только для управления модемом, поэтому если вы не хотите чтобывеб-интерфейс модема был доступен из локальной сети, то отключите Внешний интерфейс Ethernet.

Подключение по L2TP (VPN)

Подключение с применением протокола L2TP иногда используется интернет-провайдерами в целях обеспечения более надёжной авторизации. Длянастройки такого подключения в web-интерфейсе необходимо перейти в меню . Создадим новый интерфейс. Для этого в спискеСервисы -> Интерфейсысетевых интерфейсов нажмите кнопку . В появившемся меню выберите тип интерфейса и нажмите кнопку "Создать". Меню выбора"Добавить" "L2TP"подключения по L2TP представлено на фрагменте экрана ниже.

Обратите внимание на то, что в списке интерфейсов появился интерфейс L2TP: выберите его. Теперь нам предстоит определить все параметры,необходимые для подключения к интернет-провайдеру по протоколу L2TP. Перечень параметров сведен в таблицу ниже.



Основной Отметьте для того, чтобы сделать интерфейс основным. Это нужно в случае, когда у вас несколько интерфейсов с ролью "Внешний ."


Названиеинтерфейса

Укажите любое имя, с помощью которого вы будете в дальнейшем идентифицировать интерфейс, например Ideco_L2TP.

Через интерфейс Выберите интерфейс через который должно проходить подключение.

VPN-сервер Укажите IP-адрес или доменное имя L2TP-сервера.

Логин Укажите имя пользователя для подключения по L2TP.




Проверка связи Укажите в этом поле адрес любого популярного внешнего ресурса (например, 8.8.8.8), этот адрес нужно только для настройкирезервирования каналов.

MTU Задайте размер MTU (по умолчанию этого делать не надо поскольку большинство подключений проходят при стандартномразмере MTU).

Настройки подключения по L2TP показаны ниже.

После заполнения всех полей ещё раз убедитесь в корректности введённых значений. Если вся информация указана правильно, нажмите кнопку "Сохра. Для завершения настройки подключения требуется выполнение перезагрузки Ideco UTM.нить"

Для отслеживания состояния соединения перейдите в раздел "Сервисы - Интерфейсы". Если связь с провайдером установлена, то у интерфейса долженпоявиться статус "Подключен", подсвеченный зеленым. Так же у подключенного интерфейса всегда есть "Актуальный IP-адрес".

Подключение по PPTP (VPN)

Подключение с применением протокола PPTP иногда используется интернет-провайдерами в целях обеспечения более надёжой авторизации. Длянастройки такого подключения в web-интерфейсе необходимо перейти в меню . Создайте новый интерфейс. ДляСервисы -> Авторизация пользователейэтого в списке сетевых интерфейсов нажмите кнопку . В появившемся меню выберите тип интерфейса и"Добавить" "PPTP - подключение по VPN"нажмите кнопку . Меню выбора подключения по PPTP представлено на фрагменте экрана ниже."Создать"

Обратите внимание на то, что в списке интерфейсов появился интерфейс PPTP: выберите его. Теперь необходимо определить все параметры,необходимые для подключения к интернет-провайдеру по протоколу PPTP. Перечень параметров приведен ниже в таблице.


Имя интерфейса Укажите любое имя, с помощью которого вы будете в дальнейшем идентифицировать интерфейс, например Ideco_PPTP.


Основной Отметьте для того, чтобы сделать интерфейс основным. Это нужно в случае, когда у вас несколько интерфейсов с ролью "Внешний ."


Через интерфейс Выберите интерфейс через который нужно создавать PPTP-соединение.

VPN-сервер Укажите IP-адрес VPN-сервера.

Логин Укажите имя пользователя для подключения по PPTP.


ШифрованиеMPPE

Отметьте, если интернет-провайдер требует шифровать передаваемый трафик.



Проверка связи Укажите в этом поле адрес любого популярного внешнего ресурса (если не указано, по-умолчанию используется адрес 8.8.8.8), этот адрес нужно указывать только для настройки резервирования или балансировки каналов.

MTU Задайте размер MTU (по умолчанию этого делать не надо поскольку большинство подключений проходят при стандартномразмере MTU).

Настройки подключения по PPTP показаны ниже.

После заполнения всех полей ещё раз убедитесь в корректности введённых значений. Если вся информация указана правильно, нажмите кнопку "Сохра.нить"

Если адрес РРТР-сервера не входит в сеть на внешнем интерфейсе, через который должно идти подключение, то необходимо добавить маршрут. Этиммаршрутом мы описываем, что адрес VPN сервера находится за шлюзом на внешнем физическом интерфейсе. Перейдите в меню Сервисы ->

web-интерфейса, далее нажмите кнопку и заполните поля, определяющие назначение маршрута. Перечень параметров дляМаршрутизация "Добавить"описания маршрута представлен в таблице ниже.


Адрес сети источника В данном случае оставьте пустым.

Адрес сети назначения Укажите здесь IP-адрес РРТР-сервера с маской /32 или /255.255.255.255.

Шлюз/Интерфейс Укажите IP-адрес шлюза физического интерфейса, через который должно проходить подключение.

Протокол Оставьте поле пустым.

% Оставьте поле пустым.

FORCE Оставьте поле пустым.

Если предположить, что IP-адрес шлюза на интерфейсе, через который должно проходить подключение 10.0.0.1, то в результате должен получитьсямаршрут как проиллюстрировано ниже.

Для завершения настройки подключения требуется выполнить перезагрузку Ideco UTM.

Для отслеживания состояния соединения перейдите в раздел "Сервисы -> Интерфейсы". Если связь с провайдером установлена, то у интерфейса долженпоявиться статус "Подключен", подсвеченный зеленым. Так же у подключенного интерфейса всегда есть "Актуальный IP-адрес".

Подключение по 3G, 4G (LTE)

Ideco UTM не работает напрямую с USB-адаптерами для подключения к сетям мобильных операторов.

Для подключения к таким сетям необходимо использовать 4G-роутеры, таким образом для Ideco UTM это будет .Ethernet-подключение

Одновременное подключение к нескольким провайдерам

Одновременное подключение к нескольким провайдерам

При наличии нескольких подключений к Интернет-провайдерам, можно задействовать их следующими способами:

Резервирование основного канала, чтобы при его отключении трафик шел через резервный канал.Статическая балансировка трафика между несколькими подключениями. При этом часть пользователей локальной сети будет выходить в сетьИнтернет через одного провайдера, часть через другого.Динамическая балансировка трафика между несколькими подключениями. При этом сессии будут поочередно перенаправляться на основной идополнительные Интернет-каналы одновременно от всех пользователей в зависимости от загрузки интернет-подключений.

ПодготовкаСитуация 1: резервирование каналовСитуация 2: распределение нагрузки по нескольким подключениям, статическая балансировка

Шаг 1. Добавление сети на локальном интерфейсеШаг 2. Создание маршрутаШаг 3. Настройка пользовательских компьютеров и учётных записей в веб-интерфейсе Ideco UTMЕсли вы используете прокси-сервер

Ситуация 3: доступ к разным ресурсам сети Интернет через определенные каналы связи, статическая балансировка Ситуация 4: распределение нагрузки по нескольким подключениям, динамическая балансировка

Подготовка

Создайте дополнительное подключение к интернет-провайдеру. Процесс создания подключений описан в разделе . ТакимПодключение к провайдеруобразом, у вас на сервере должно быть минимум два подключения к сети Интернет.

Необходимо понимать, что для работы с трафиком в Ideco UTM надо учитывать 2 момента: маршрутизация и NAT. Это касается и балансировки, ирезервирования. Подробнее рассмотрим на конкретных примерах.

Ситуация 1: резервирование каналов

Для переключения между интерфейсами мы должны отредактировать настройки основного и резервного интерфейсов. Для этого переходим в разделвеб-интерфейса . Нас интересуют всего 2 поля:Сервер -> Интерфейсы

Проверка связи – укажите адрес публичного ресурса с высоким показателем отказоустойчивости (по-умолчанию, если адрес не указан,используется адрес Google DNS 8.8.8.8).Резервный интерфейс – выберите интерфейс на который должно произойти переключение в случае обрыва и восстановления. В качестверезервных может использоваться несколько интерфейсов, тогда в случае неработоспособности основного и резервных интерфейсов, будетиспользоваться любой из работоспособных резервных.

После того как оба интерфейса отредактированы выполните перезагрузку Ideco UTM.

Ситуация 2: распределение нагрузки по нескольким подключениям, статическая балансировка

В описываемой схеме часть пользователей локальной сети будет иметь доступ к сети Интернет или другим внешним сетям через дополнительный каналсвязи. Нужно будет выделить пользователей в отдельную подсеть и создать маршрут, согласно которому трафик от них будет направлен в нужныйинтерфейс.

Далее нам потребуется пройти несколько шагов:

добавить сеть на локальном интерфейсе;настроить маршрутизацию трафика;настроить пользовательские компьютеры и их учётные записи в веб-интерфейсе Ideco UTM.

Шаг 1. Добавление сети на локальном интерфейсе

Прежде чем настраивать маршрутизацию, мы должно выделить пользователей, которые будут работать через дополнительного провайдера в отдельнуюлокальную сеть. Это может быть дополнительный физический интерфейс, но можем обойтись добавлением сети в существующем локальноминтерфейсе. Давайте предположим, что все пользователи находились в локальной сети 192.168.0.0/24, на локальном интерфейсе был прописан адрес192.168.0.1/24. Нам надо на локальный интерфейс добавить адрес 192.168.50.1/24, для этого переходим в разделе , открываемСервер -> Интерфейсынастройки локального интерфейса, в поле прописываем 192.168.50.1/24 и нажимаем кнопку , в итоге получим следующие настройки:IP адреса Добавить

Шаг 2. Создание маршрута

Для маршрутизации трафика пользователей через разные каналы доступа в интернет на основе их принадлежности к IP-сетям перейдите в меню Сервер веб-интерфейса и выберите вкладку . Создадим маршрут для сети 192.168.50.0/24. Для этого нажмем кнопку -> Сетевые параметры "Маршруты" "Добав

и заполним поля, определяющие назначение маршрута:ить"

- Адрес источника с маской, маска может быть прописана как в классическом виде, так и в виде количества бит.SRC/MASK

- Порт источника (прописывается только если выбран протокол TCP или UDP).SRC PORT

- Адрес назначения DST/MASK с маской, маска может быть прописана как в классическом виде, так и в виде количества бит.

- Порт назначения DST PORT (прописывается только если выбран протокол TCP или UDP).

- Куда перенаправить трафик.Шлюз/интерфейс

- Возможные значения: TCP, UDP, GRE, ICMP.Протокол

- Вероятность срабатывания, например, 50%. Используется только при настройке балансировки трафика между несколькими внешними%интерфейсами.

FORCE - Маршрутизировать независимо от маски интерфейсов. Эта опция ставится автоматически, если в этом есть необходимость, вручную лучше неустанавливать!

SNAT - Ключ, указывающий, что маршрутизируемый трафик должен подвергаться трансляции адресов от IP-адреса того интерфейса сервера, накоторый перенаправляется трафик.

Для подсети 192.168.50.0/24 и адреса шлюза дополнительного провайдера 66.77.88.1 получится такой маршрут:

Этот шаг не является обязательным. Если вам нужно перенаправить всего двух или трёх пользователей на дополнительного провайдера, топроще прописать 2 или 3 маршрута. Примеры таких маршрутов вы можете посмотреть в статье по .маршрутизации

Если маршрутизация осуществляется на Ethernet-интерфейс то указывается адрес шлюза этого Ethernet-интерфейса. Для виртуальныхвсегдаинтерфейсов (РРТР, РРРоЕ, OpenVPN) указывается интерфейс.всегда

Ключ SNAT работает только если в маршруте в поле прописан IP-адрес компьютера пользователя или IP-адрес локальной сети.SRC/MASK

Для подсети 192.168.50.0/24 и адреса шлюза дополнительного провайдера 66.77.88.1 получится такой маршрут:

Для , например, с IP-адресом 192.168.50.10 нужен такой маршрут:одного компьютера

Шаг 3. Настройка пользовательских компьютеров и учётных записей в веб-интерфейсе Ideco UTM

После того как создали профили, дополнительный адрес на локальном интерфейсе и маршрут, надо настроить пользовательские компьютеры и ихучётные записи:

На компьютерах пользователей, которые будут работать через дополнительное подключение, прописываем адрес из сети 192.168.50.0/24 и вкачестве шлюза и DNS указываем адрес 192.168.50.1.Там же в веб-интерфейсе у каждого пользователя, работающего через дополнительное подключение, прописываем те адреса из сети192.168.50.0/24, которые в данный момент прописаны на их компьютерах.

Эта инструкция написана с учётом авторизации пользователей по IP. Для динамических способов авторизации необходимо предусмотреть,

Если вы используете прокси-сервер

По умолчанию прокси-сервер работает с веб-трафиком только через основной интерфейс, вне зависимости от того, какие дополнительные каналыпровайдеров настроены. Таким образом маршрутизироваться будет только не веб-трафик.

Ситуация 3: доступ к разным ресурсам сети Интернет через определенные каналы связи, статическая балансировка

Такая схема подключения к нескольким интернет-провайдерам часто применяется в случае, когда некоторые ресурсы в сети Интернет тарифицируютсядешевле через другого интернет-провайдера или в случае доступа к внутренним сетям дополнительного провайдера, минуя основной канал связи.

Перейдите в меню веб-интерфейса и выберите вкладку . Создадим маршрут для каждого ресурса внешнейСервер -> Сетевые параметры "Маршруты"сети. Для этого необходимо нажать кнопку и заполнить поля, определяющие назначение маршрута:"Добавить"

- Адрес источника с маской, маска может быть прописана как в классическом виде, так и в виде количества бит.SRC/MASK

- Порт источника (прописывается только если выбран протокол TCP или UDP).SRC PORT

- Адрес назначения DST/MASK с маской, маска может быть прописана как в классическом виде, так и в виде количества бит.

- Порт назначения DST PORT (прописывается только если выбран протокол TCP или UDP).

- Куда перенаправить трафик.Шлюз/интерфейс

- Возможные значения: TCP, UDP, GRE, ICMP.Протокол

FORCE - Маршрутизировать независимо от маски интерфейсов. Эта опция ставится автоматически, если в этом есть необходимость, вручную лучше неустанавливать!

SNAT - Ключ, указывающий что маршрутизируемый трафик должен подвергаться трансляции адресов от IP-адреса того интерфейса сервера, накоторый перенаправляется трафик.

В этом примере мы не можем прописать профиль у пользователей, так как у одного и того же пользователя трафик пойдёт в сторону целевой сети черездоп. провайдера, а до остальных ресурсов - через основного провайдера, поэтому мы должны поменять NAT в самом маршруте при помощи ключаSNAT. При наличии ключа SNAT мы должны также задать сеть источника, пусть это будет основная сеть 192.168.0.0/24, в качестве внешней целевойсети пропишем 217.24.176.0/24 и перенаправим трафик на адрес шлюза дополнительного провайдера 66.88.88.1, получится такой маршрут:

Эта инструкция написана с учётом авторизации пользователей по IP. Для динамических способов авторизации необходимо предусмотреть,чтобы присваиваемые по DHCP адреса попадали в нужные диапазоны.

Если маршрутизация осуществляется на Ethernet-интерфейс ,то указывается адрес шлюза этого Ethernet-интерфейса. Для виртуальныхвсегдаинтерфейсов (РРТР, РРРоЕ, OpenVPN, IPsec) указывается интерфейс.всегда

Ключ SNAT работает только если в маршруте в поле прописан IP-адрес компьютера пользователя или IP-адрес локальной сети.SRC/MASK

Если в целевой сети вас интересуют веб-ресурсы, то всю сеть лучше .исключить из обработки прокси сервером

Ситуация 4: распределение нагрузки по нескольким подключениям, динамическая балансировка

В описываемой схеме мы будем переадресовывать на дополнительный канал связи не конкретных пользователей, а сетевые сессии от всех пользователейодновременно.

Для работы данной схемы необходимо во всех внешних интерфейсах указать "полосу пропускания" - максимальную скорость Интернета по тарифамваших провайдеров. Сервер автоматически будет балансировать трафик в зависимости от загрузки каналов.

Создавать маршруты или выполнять еще какие-либо настройки для балансировки трафика не требуется. Трафик прокси-сервера также будетбалансироваться автоматически.

Управление пользователями

В этом разделе описаны основные инструменты для управления группами и учетными записями пользователей. Вы узнаете о том, какие типыпользователей существуют в Ideco UTM, о том как создавать/удалять учетные записи и другое.

Смотрите также: (автоматическое создание пользователей).поиск устройств

Дерево пользователей

Пользователи в интерфейсе управления Ideco UTM отображаются в виде дерева. Пользователи могут быть организованы в группы. Уровеньвложенности групп не ограничен. Дерево учетных записей пользователей доступно в разделе ."Пользователи"

Древовидная структура легко отражает реальную структуру предприятия с подразделениями, отделами, офисами и позволяет облегчить управлениебольшим количеством пользователей, назначая администраторов для отдельных групп. Такие администраторы групп могут управлять доступомпользователей в интернет, создавать внутри своих групп других пользователей, группы и администраторов для нижележащих групп.

В Ideco UTM реализован принцип наследования, что позволяет легко задавать и изменять общие для пользователей параметры, определяя их дляродительской группы – профиль, пул IP-адресов, параметры ограничений и разрешений. Принцип наследования очень удобен для выполнения операцийуправления, осуществляемых по отношению ко всем пользователям группы.

Дерево пользователей показано ниже.

В зависимости от установленных для пользователей параметров различают несколько типов пользователей, представленных в таблице ниже.

Обозначения типов

пользователей

Описание

Пользователь, успешно прошедший процедуру авторизации.

Пользователь с установленным признаком "Администратор технический ."

Пользователь с установленным признаком "Главный администратор ."

Пиктограмма пользователя может быть окрашена в разные цвета. В следующей таблице на примере пиктограммы обычного пользователя даетсяописание каждого цвета.

Состояние учетной

записи пользователя

Описание

В данный момент времени пользователь прошел процедуру авторизации, и ему был предоставлен доступ в интернет.

Проверка учетной записи пользователя завершается с отрицательным результатом (см. подробнее "Проверка пользователя").

В данный момент времени пользователь не прошел процедуру авторизации, и ему не был предоставлен доступ в интернет.

Учетная запись пользователя отключена.

При удалении пользователя или группы пользователей, удаляемый объект попадает в специальный контейнер дерева пользователей - "Корзина".Пользователи, находящиеся в Корзине, не могут быть авторизованы, но сохраняют все свои свойства. Например, IP-адрес, уже назначенныйпользователю, находящемуся в Корзине, не может быть назначен другому пользователю. Таким образом, объекты, находящиеся в Корзине, не удаленыиз Ideco UTM полностью, их можно восстановить из корзины в любой момент. Для полного удаления пользователя или группы пользователей из IdecoUTM нужно удалить их из Корзины.

Помещенные в Корзину пользователи хранятся в ней в соответствии с иерархией, в которой они находились в дереве пользователей до помещения вКорзину. Полностью перемещенные в корзину группы пользователей со всеми пользователями и подгруппами внутри помечены значком "корзины".Такие группы готовы к полному удалению с сервера. Группы, часть пользователей которых находится в Корзине, а часть по прежнему присутствует вдереве пользователей, не отмечены таким значком.

Типичная структура Корзины пользователей показана ниже.

Управление учетными записями пользователей

Для управления группами и учетными записями пользователей в дереве пользователей на каждой группе есть соответствующие кнопки:

Элементы управления учетными записями

Создать учетную запись пользователя.

Создать группу.

1. 2.

Удалить учетную запись пользователя или группу.

Создание учетной записи пользователя

Чтобы создать учетную запись в определенной группе, выберите эту группу. Вы увидите в заголовке группы несколько элементов управления. Примервыбора группы проиллюстрирован ниже.

Попробуем создать учетную запись пользователя в группе нажатием на соответствующую иконку. Перед вами появится окно создания учетной записипользователя, в котором нам нужно определить ряд параметров. В следующей таблице представлен перечень параметров учетной записи.

Параметры для создания учетной записи пользователя

Пользователь Укажите имя пользователя, для которого создается учетная запись, например, Иванов Иван.

Логин Укажите логин, который будет применяться пользователем для прохождения процедуры авторизации в различных службах IdecoUTM. Логин необходимо вводить латинскими символами с соблюдением регистра, например: i.ivanov

Пароль Укажите пароль. Пароль необходимо вводить латинскими символами с соблюдением регистра. Можно автоматически сгенерироватьпароль.

Повторитепароль

Повторно укажите пароль для проверки. При автоматической генерации пароля он будет повторен без необходимостидополнительных действий.

Форма создания учетной записи пользователя показана ниже.

Логин и пароль используются для авторизации и для подключения к web-интерфейсу Ideco UTM, если пользователь является администратором. Дляучетных записей, импортированных из MS Active Directory (AD), проверка пароля осуществляется средствами AD.

Теперь, когда вы определили все параметры, нажмите кнопку . Произойдет добавление учетной записи, у которой автоматически будут"Добавить"установлены значения следующих параметров:

IP-адрес – автоматически устанавливается из пула, выбирается первый свободный IP-адрес.Остальные параметры, наследуемые от группы.

Посмотреть или восстановить пароль учетной записи пользователя нельзя, допускается только его изменение. Также рекомендуетсянапоминать пользователям о том, чтобы они обязательно сразу сменили пароль через web-интерфейс.

Возможно массовое создание пользователей для их авторизации по IP. Подробнее об этом можно прочитать в посвященной этому типустатьеавторизации.

Создание группы

Выберите ту группу, в которой вы предполагаете создать новую (вы можете создать как группу в корне дерева, так и дочернюю). Вы увидите в заголовкегруппы несколько элементов управления, среди которых необходимо нажать на кнопку добавления группы. Появится окно, в котором вам нужно будетуказать название новой группы. Окно добавления группы показано на следующем фрагменте экрана.

Массовое создание пользователей с авторизацией по IP

При необходимости возможно пользователей для их авторизации по IP. Например для сети Wi-Fi.массовое создание

Либо можно воспользоваться для их автоматического создания при попытке выхода в сеть Интернет.поиском устройств

Удаление учетной записи пользователя или группы

Для удаления учетной записи пользователя необходимо выбрать ее в дереве пользователей и нажать на кнопку удаления. Появится окно с требованиемподтверждения удаления, нажмите кнопку ."ОК"

Удаление группы осуществляется аналогичным образом.

Восстановление учетной записи пользователя или группы

Чтобы восстановить учетную запись пользователя из корзины, выберите вкладку в корневой папке . В ней выделите нужную для"Корзина" "Все"восстановления учетную запись и нажмите соответствующую кнопку , расположенную справа от имени учетной записи."Восстановить"

Перемещение учетной записи пользователя или группы

Чтобы переместить учетную запись пользователя в другую группу, выделите этого пользователя в веб-интерфейсе, на вкладке найдите поле "Общие" "В и из выпадающего списка выбирите группу куда надо переместить пользователя.группе"

Административные учетные записи

В Ideco UTM существует два типа административных учетных записей. Они описаны в этой таблице.

Административные учетные записи

Главныйадминистратор

Учетная запись с максимальными полномочиями в Ideco UTM. Эта запись присутствует в системе изначально и называется"Главный Администратор". Эта учетная запись может существовать только в единственном экземпляре и не может быть удалена.Под данной учетной записью невозможно авторизоваться для выхода в Интернет или подключения по VPN.

Техническийадминистратор

Учетная запись, имеющая возможность управления учетными записями своей группы и дочерних групп.

Создание Технических администраторов позволяет достичь высокой гибкости управления учетными записями пользователей. Это особенно полезно для

При удалении учетной записи, она перемещается в папку , из которой может быть впоследствии восстановлена. При удалении"Корзина"группы, в корзину перемещается вся группа, включая учетные записи пользователей, входящие в неё.

1. 2. 3. 4. 5.

1. 2.

1. 2.

Создание Технических администраторов позволяет достичь высокой гибкости управления учетными записями пользователей. Это особенно полезно длякрупных предприятий, когда существует необходимость в делегировании полномочий по управлению доступом в интернет рабочих групп. В небольшихпредприятиях обычно достаточно одного администратора.

Главный администратор имеет следующие полномочия, которые не имеет Технический администратор.

Редактирование пулов IP-адресов.Редактирование профилей пользователей.Редактирование правил межсетевого экрана.Переопределение вручную следующих параметров учетной записи пользователя: IP-адрес, пул, адрес NAT.Управление системными службами.

Технические администраторы, находящиеся в корневой группе, в отличие от Технических администраторов других групп, имеют дополнительныевозможности.

Смена профиля учетной записи пользователя.В случае необходимости могут вручную исправлять баланс пользователей.

Все Технические администраторы, кроме Главного администратора, имеют следующие ограничения:

Не имеют возможности изменять параметры группы, в которой находятся сами.Не имеют возможности изменять учетные записи Технических администраторов одного уровня с собой, то есть находящихся непосредственнов этой же группе.

Настройка учетных записей пользователей

Настройка пользователей осуществляется в разделе . Чтобы определить параметры учетной записи пользователя, выберите её в дереве"Пользователи"пользователей нажатием мышью. В правой части экрана появятся параметры выделенной учетной записи. В случае, если вы желаете изменитьпараметры всех пользователей, входящих в группу, вам нужно выделить в дереве пользователей соответствующую группу.

Все настраиваемые параметры разделены по нескольким категориям, которые вы можете видеть в таблице ниже.

Категории параметров учетной записи пользователя

Общие Основные параметры.

Почта Параметры, отвечающие за создание и управление почтовым ящиком.

Ограничения Параметры, отвечающие за управление доступом пользователя к сети Интернет. Здесь определяются параметры сетевого фильтра иконтент-фильтра.

Статистика Статистика по потреблению пользователем интернет-трафика.

Баланс Информация о имеющемся балансе у пользователя. Используется в случае установки .квот

Общие настройки

Раздел общих настроек включает в себя множество основных параметров, определяющих статус учетной записи пользователя. Общие настройкиразделены на базовые и дополнительные. Начнем с рассмотрения базовых параметров, описанных в следующей таблице.

Общие настройки (базовые параметры)

Active Directory Признак пользователя, импортированного из .Active Directory

Пользователь Имя пользователя, для которого создается учетная запись, например, Иванов Иван.

Логин Логин, который будет применяться пользователем для прохождения процедуры авторизации в различных службах Ideco UTM.Логин необходимо вводить латинскими символами с соблюдением регистра, например, i.ivanov.

Пароль Функция изменения пароля для учетной записи пользователя.

В группе Группа, в которую входит данный пользователь.

Запретитьавторизацию

Запретить пользователю авторизоваться на шлюзе безопасности Ideco UTM. Это означает, что он не сможет пользоватьсяресурсами сети Интернет.

В целях обеспечения высокого уровня информационной безопасности все действия, выполняемые от административных учетных записей,журналируются и доступны в разделе Меню -> Аудит событий.

В том числе журналируется IP-адрес, с которого осуществлялся вход администраторов.

Использоватьавторизацию поIP

Для авторизации по IP-адресу.

Постояннаяавторизация по IP

Параметр, который позволяет включить постоянную статическую авторизацию, работает только в случае авторизации по.IP-адресу

IP-адрес IP-адрес, который закреплен за данной учетной записью при авторизации по IP-адресу.

MAC-адрес MAC-адрес сетевого адаптера, которому назначен IP-адрес, закрепленный за учетной записью.

Профиль учетатрафика

Профиль для учета стоимости трафика пользователя и использовании .квот

Пул IP-адресов Пул IP-адресов, из которого учетной записи будет присваиваться IP-адрес.

Удаленныеподключения поVPN

Разрешить подключаться к серверу Ideco UTM по VPN из интернета. Подробнее см. в разделе "VPN".

Техническийадминистратор

Присвоить пользователю статус Администратора технического. Подробнее см. в разделе " "Административные учетные записи .

Форма параметров пользователей показана ниже.

http://ideco.ru/ics/doc/setting_tunnel_vpn.htm

Почта

В этом разделе находятся параметры, с помощью которых для учетной записи может быть предоставлен доступ к работе с почтовым сервером. Вследующей таблице представлен перечень параметров для настройки почтового сервера.

Настройки почты

Разрешить почту Автоматически создаёт аккаунт на Почтовом сервере. Подробнее см. в разделе "Почтовый сервер."

Разрешить доступ к почте из Интернет (pop3,imap)

Разрешить доступ к почтовому ящику из сети Интернет. Подробнее см. в разделе "Почтовыйсервер".

Почтовый ящик Этот параметр позволяет задать пользователю название почтового ящика, отличное от егологина.

Автоответчик для почты Активирует автоответчик на почтовом ящике.

Ограничения

Раздел включает в себя различные наборы правил, ограничивающих доступ пользователя в сеть Интернет. В таблице ниже представлено описаниекаждого из наборов.

Настройки ограничений

Ограниченияпользовательскогофайрвола

Назначение предопределенных групп правил пользовательского сетевого фильтра на учетную запись или группу. Процессуправления правилами пользовательского сетевого фильтра подробно описан в разделе "файрвол".

Ограничения повремениподключения

Установление интервалов времени, в которые авторизация разрешена (запрещена). Правила на группе приоритетнее правил напользователе в группе. Установка признака "Всегда" на пользовательском правиле делает его приоритетнее группового. Еслипризнак установлен и на групповом и на пользовательском правиле, групповое будет приоритетнее.

Квота

Данный раздел позволяет просматривать и увеличивать баланс пользователя, в случае использования лимитов трафика. Настройка квот трафикаописана в соответствующем разделе документации: .Квоты

Интеграция с Active Directory

1.

2.

3.

4.

Интеграция с Active Directory

В Ideco UTM реализована возможность односторонней синхронизации с доменом на базе Microsoft Active Directory. При этом импортируются толькоучетные записи, исключая пароли. Это означает, что при прохождении пользователем процедуры аутентификации, проверка будет осуществлятьсясредствами Active Directory.

Особенности использования интеграции с несколькими доменами Active Directory

При интеграции Ideco UTM с несколькими доменами в текущей версии имеются следующие ограничения:

Авторизация через Ideco Agent будет работать только с первым доменом, к которому был присоединен Ideco UTM.Авторизация на почтовом сервере (POP3, IMAP, SMTP, web-почта) невозможна при использовании мультидоменной конфигурации.При при первом открытии браузера пользователю будет предложен выбор домена для аутентификации. ВыборSingle Sign-On авторизациибудет сохранен с помощью и будет использован при следующих авторизациях. Если вы хотите изменить домен - удалите файл (длcookie cookieя локального IP-адреса ideco UTM).

Возможные проблемы интеграции с Active Directory и их решение

Воспользуйтесь рекомендациями ниже, если у вас возникла одна из этих проблем: импортированная из AD группа перестала синхронизироваться сдоменом; вы получаете пустой список пользователей при повторной синхронизации; возникает ошибка подключения к домену; проблемы савторизацией пользователей.

Проверить время на UTM на вкладке Сервер - Дополнительно. Часовой пояс и фактическое время должны совпадать с временем и часовымпоясом на AD.Для авторизации пользователя его устройство должно резолвить домены в IP-адреса без подключения к Интернету (с помощью DNS-сервераконтроллера домена или DNS-сервера Ideco UTM). Проверить резолвинг можно с помощью команды nslookup.Проверьте, указан ли Пул на группе "Все" (он должен быть именно указан, проставлена переопределяющая галочка) и на группе,импортированной из Active Directory. И существует ли этот пул в Профилях - Пулы IP-адресов.Журнал службы интеграции с доменом можно посмотреть в разделе Мониторинг - Журнал интеграции с Active Directory.

Ввод сервера в домен

Перейдите на вкладку Сервисы -> Active Directory и заполните данные формы для ввода сервера Ideco UTM в домен:

Для интеграции с Active Directory необходимо, чтобы время и часовой пояс на Ideco UTM и контроллерах домена совпадали. Обязательнопроверьте текущие настройки времени на вкладке: . -

Поддерживается интеграция с Windows Server 2008, 2012, 2016. Более ранние версии не поддерживаются (Windows 2003 R2 поддерживаетсяограниченно).

В качестве имени домена введите полное, а не сокращенное наименование домена. DNS name домена, а не NetBIOS name: имя домена, а не контроллерадомена. Например: mydomain.example.

Логин/пароль пользователя с правом присоединения к домену не сохраняется на сервере и используется один раз для присоединения к домену.Пользователь может не быть администратором домена, но должен обладать правами на присоединения компьютеров к домену.

DNS-сервер AD - сервер, обладающий ролью DNS-сервера в Active Directory (как правило, один из контроллеров домена), доступный с локальногоинтерфейса Ideco UTM.

Внимание: хотя бы один контроллер домена должен находиться в локальной сети Ideco UTM (или быть доступен через локальный интерфейс спомощью настроенной ).маршрутизации

Процесс присоединения к домену после нажатия одноименной кнопки может занять некоторое время - 1-2 минуты.

Если вам не удалось ввести сервер в домен, создайте в настройках DNS-сервера для вашего домена.Forward-зону

https://doc.ideco.ru/pages/viewpage.action?pageId=1278061#id-%D0%98%D0%BD%D1%82%D0%B5%D0%B3%D1%80%D0%B0%D1%86%D0%B8%D1%8F%D1%81ActiveDirectory-%D0%9D%D0%B0%D1%81%D1%82%D1%80%D0%BE%D0%B9%D0%BA%D0%B0DNS%D0%B4%D0%BB%D1%8F%D1%80%D0%B0%D0%B7%D1%80%D0%B5%D1%88%D0%B5%D0%BD%D0%B8%D1%8F%D0%B8%D0%BC%D0%B5%D0%BD%D0%BB%D0%BE%D0%BA%D0%B0%D0%BB%D1%8C%D0%BD%D0%BE%D0%B3%D0%BE%D0%B4%D0%BE%D0%BC%D0%B5%D0%BD%D0%B0

1. 2. 3. 4. 5.

6.

Возможно присоединение сервера к нескольким доменам Active Directory, с некоторыми особенностями работы, описанными в .статье

Настройка DNS для разрешения имен локального домена

В Ideco UTM Forward-зона DNS создается автоматически при вводе сервера в домен, и настраивать ее вручную нет необходимости.

Создавайте ее вручную только в случае, если вы по ошибке удалили данную зону из настроек DNS-сервера или если у вас не получилось присоединитьсервер к домену.

В настройках DNS-сервера на Ideco UTM для корректной работы синхронизации пользователей и их авторизации на сервере необходимо настроитьразрешение имен локального домена. Для этого в настройках DNS-сервера необходимо прописать Forward-зону и DNS-серверы для нее (как правило,основной и резервные контроллеры домена).

В примере:

Имя зоны: in.metacortex.com - имя домена Active Directory.192.168.8.8 - IP-адрес контроллера домена.

При такой настройке компьютеры могут использовать Ideco UTM в качестве основного DNS-сервера, при этом разрешение локальных и интернет-именбудет работать корректно, в том числе и для всех сервисов предоставляемых Active Directory.

Импорт пользователей

Импорт учетных записей из LDAP

В Ideco UTM реализована возможность рекурсивного импорта учетных записей из LDAP-каталога Active Directory.

Импортировать группы пользователей AD можно в специально созданные группы пользователей в Ideco UTM. Их название может быть произвольным.

Создайте группу в дереве пользователей Ideco UTM.Выберите эту группу в дереве и перейдите на вкладку Active Directory.Выберите домен, из которого вы хотите импортировать пользователей (если Ideco UTM является членом нескольких доменов).В поле "Тип группы" выберите LDAP/AD группа.При нажатии на поле "LDAP группа" откроется дерево пользователей Active Directory. Выберите из него необходимую группу для импорта(также можно выбрать корневую группу для импорта всего дерева).При нажатии на кнопку "Сохранить" будет произведен импорт пользователей (это может занять несколько минут). В дальнейшем пользователибудут автоматически синхронизироваться с Active Directory каждые 15 минут.

1. 2. 3. 4. 5.

При необходимости можно воспользоваться фильтром запросов. Например, если у вас в одних и тех же контейнерах находятся и пользователи, икомпьютеры, а вы хотите импортировать только пользователей, то в поле "фильтр" нужно написать следующий текст: (&(objectCategory=person

.)(objectClass=user))

Можно импортировать разные группы пользователей AD в различные группы Ideco UTM, для удобства назначения на них правил контентной, и других.фильтрации контроля приложений

Импорт учетных записей из групп безопасности

Возможен импорт пользователей из групп безопасности Active Directory. При этом, если вы импортируете несколько групп безопасности в разныепапки на Ideco UTM, а пользователь в Active Directory находится в нескольких импортируемых группах безопасности, в Ideco UTM он будетимпортирован только в одну группу.

Создайте группу в дереве пользователей Ideco UTM.Выберите эту группу в дереве и перейдите на вкладку Active Directory.В поле "Имя домена" выберите нужный домен.В поле "Тип группы" выберите "Группа безопасности AD".В поле ниже выберите нужную группу безопасности.

Можно импортировать любое количество групп безопасности AD в разные папки в дереве пользователей Ideco UTM.

Авторизация пользователей

Настройка авторизации пользователейНастройка Ideco UTMНастройка компьютеров пользователей и политик домена

Авторизация по логам контроллера домена ADВеб-авторизация (SSO или NTLM)

Настройка авторизации пользователей при прямых подключениях к прокси-серверуНастройка браузера Mozilla Firefox для авторизации по NTLM при прямом подключении к прокси-северу на UTM

Возможные ошибки авторизации

Настройка авторизации пользователей

Для пользователей, импортированных из Active Directory, доступны все пользователей. Наиболее часто используемый варианттипы авторизацииавторизации пользователей - - с использованием Kerberos/NTLM для авторизации черезSingle Sign-On аутентификация через Active Directoryвеб-браузер и логов контроллера домена (рекомендуется одновременное использование обоих типов авторизации). Необходимые настройки Ideco UTMи политик Active Directory описаны в данной статье.

Настройка Ideco UTM

Включите данный тип авторизации на вкладке Сервисы -> Авторизация пользователей -> -> Включить веб-авторизацию Single Sign-On. И нажмите кнопку "Сохранить".аутентификация через Active Directory

На вкладке Сервер - Active Directory - Установите флажок "Разрешить авторизацию по логам".

Настройка компьютеров пользователей и политик домена

Авторизация по логам контроллера домена AD

Поддерживается начиная с версии контроллера домена 2008 standard edition и UTM 7.6.

Для работы авторизации по логам безопасности необходимо выполнить настройку на основном контроллере домена:

В настройках брандмауэра Windows разрешить удаленный доступ к логам безопасностина всех контроллерах домена (или доменов)

Добавить Ideco UTM в группу безопасности "Читатели журнала событий" ( ")"Event Log Readers

После настройки доступа к логам, необходим , для этого снимите и снова установите перезапуск службы авторизации по логам на Ideco UTMфлажок "Разрешить авторизацию по логам", на вкладке Сервер - Active Directory.

Веб-авторизация (SSO или NTLM)

Для работы (с использованием Kerberos либо NTLM) необходима настройка Internet Explorer (остальные браузерыавторизации через веб-браузерподхватывают его настройки). Обязательно используйте эти настройки, даже если обычно пользователи авторизуются по логам безопасности, внекоторых случаях будет необходима их авторизация браузером:

Зайдите в свойства браузера на вкладку "Безопасность".Выберите "Местная интрасеть" и нажмите кнопку "Сайты".В открывшемся окне нажмите кнопку "Дополнительно".Добавьте в открывшемся окне ссылку на Ideco UTM под тем именем, под которым вы ввели его в домен. На примере: Ideco UTM введен вдомен под именем idecoUTM.example.ruНужно указывать два URL: c http:// и с https://.

Также данную настройку можно сделать с помощью групповых политик Active Directory сразу же для всех пользователей. В групповых политиках дляпользователей нужно настроить:

Конфигурация пользователя - Политики - Административные шаблоны - Компоненты Windows - Internet Explorer - Панель управления браузером -Вкладка безопасность - Список назначений зоны для веб-сайтов.Введите назначение зоны для DNS-имени Ideco UTM (в примере ) значение 1 (интрасеть). Необходимо указать два значения, дляidecoUTM.example.ruсхем работы по http и https:

http://exemple.com

http://idecoics.exemple.ru

Для браузера в about:config требуются настроить два параметра: и Mozilla Firefox network.automatic-ntlm-auth.trusted-uris network.negotiate-auth.trusted-u, добавив в них адрес локального интерфейса Ideco UTM (например ).ris idecoUTM.example.ru

Параметр в значении true позволит Firefox-у доверять системным сертификатом и авторизовать пользователей приsecurity.enterprise_roots.enabledпереходе на HTTPS-сайты.

Настройте about:config в firefox следущим образом:

security.enterprise_roots.enabled = truenetwork.automatic-ntlm-auth.trusted-uris = Доменное имя Ideco UTM в вашей сети, например idecoUTM.example.runetwork.negotiate-auth.trusted-uris = Доменное имя Ideco UTM в вашей сети, например idecoUTM.example.ru

Также для пользователей, импортированных через AD, возможны все способы авторизации:

Авторизация через Ideco Agent - подходит для авторизации пользователей терминальных серверов (с использованием Remote Desktop IPVirtualization на терминальном сервере).Авторизация по IP-адресу - подходит в случае, если пользователи всегда работают с фиксированных IP-адресов. IP-адреса на UTM необходимопрописывать вручную каждому пользователю.Авторизация по PPTP - если в сети предъявляются повышенные требования к конфиденциальности информации, передаваемой между шлюзоми устройствами пользователей, или используется слабо защищенный от перехвата трафика WiFi.

Настройка авторизации пользователей при прямых подключениях к прокси-серверу

Настройка прозрачной авторизации пользователей при прямых подключениях к прокси-серверу аналогична настройке прозрачной авторSingle Sign-Onизации, описанной выше в инструкции.

При заходе на HTTPS-сайт, для авторизации необходимо разрешить браузеру доверять сертификату Ideco UTM (чтобы не делать это каждыйраз, можно добавить корневой сертификат Ideco UTM в доверенные корневые сертификаты устройства. Например, с помощью политик

). Можно использовать для автоматической авторизации пользователей при логине.домена скрипты

http://idecoics.example.ru

изации, описанной выше в инструкции.

Единственной особенностью является необходимость указания в качестве адреса прокси-сервера .не IP-адреса Ideco UTM, а его DNS-имени

Настройка браузера Mozilla Firefox для авторизации по NTLM при прямом подключении к прокси-северу на UTM

Для компьютеров, которые , в случае необходимости их авторизации под доменным пользовательским аккаунтомне находятся в домене Active Directoryв браузере Firefox необходимы следующие его настройки:

на странице настроек браузера ( ) установите следующим параметрам значение :about:config в адресной строке false

network.automatic-ntlm-auth.allow-proxiesnetwork.negotiate-auth.allow-proxies

Возможные ошибки авторизации

Если пользователь видит окно Internet Explorer с текстом "Для получения доступа требуется аутентификация" и авторизация происходиттолько при ручном переходе по ссылке на авторизацию, значит по каким-то причинам не происходит редирект в браузере на страницуавторизации (он может быть ограничен настройками безопасности браузера). Параметр "Активных сценариев" в Internet Explorer должен бытьустановлен в значение "Включить":

Скрипты автоматической авторизации/разавторизации

Авторизация и разавторизация пользователей возможна в полностью автоматическом режиме.

Для этого нужно настроить скрипты, исполняемые при входе пользователей в систему ( ) и выходе пользователей из системы ( ). Это можноlogon logoutсделать, например, с помощью групповых политик домена (GPO).

Авторизация пользователя

Необходимо добавить скрипт в сценарии, выполняемые .при входе в систему

UTMLogon_script.vbs

Не отключайте данные опции для компьютеров, входящих в домен Active Directory, т.к. в таком случае будет использоваться устаревшийметод авторизации по NTLM.

Для работы данных скриптов необходимо выполнить все настройки политик безопасности домена и браузера, описанные в статье "Авторизац.ия пользователей Active Directory"

https://technet.microsoft.com/ru-ru/library/cc770908.aspx



UTMLogon_script.vbs

Dim IESet IE = CreateObject("InternetExplorer.Application")IE.Visible = TrueIE.Fullscreen = FalseIE.Toolbar = FalseIE.StatusBar = FalseWscript.Sleep(3000)IE.Navigate2("http://ya.ru")Wscript.Sleep(20000)IE.Quit

Деавторизация пользователя

Удобно применять этот скрипт, когда один компьютер используют разные пользователи для посещения ресурсов сети Интернет.

Для работы разавторизации пользователя необходима сервера в качестве доверенного корневого центра сертификации наустановка сертификатакомпьютеры пользователей. Можно сделать это локально или через групповые политики домена, как описано в инструкции.

Также необходимо отключить предупреждение о несоответствии адреса сертификата в свойствах Internet Explorer:

https://doc.ideco.ru/pages/viewpage.action?pageId=2261286#id-%D0%9D%D0%B0%D1%81%D1%82%D1%80%D0%BE%D0%B9%D0%BA%D0%B0%D1%84%D0%B8%D0%BB%D1%8C%D1%82%D1%80%D0%B0%D1%86%D0%B8%D0%B8HTTPS-%D0%9D%D0%B0%D1%81%D1%82%D1%80%D0%BE%D0%B9%D0%BA%D0%B0%D1%80%D0%B0%D0%B1%D0%BE%D1%87%D0%B5%D0%B9%D1%81%D1%82%D0%B0%D0%BD%D1%86%D0%B8%D0%B8%D0%BF%D0%BE%D0%BB%D1%8C%D0%B7%D0%BE%D0%B2%D0%B0%D1%82%D0%B5%D0%BB%D1%8F

Этот параметр также можно установить через GPO, изменив параметр реестра:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ параметр WarnonBadCertRecving = 0

Далее необходимо добавить скрипт, выполняемый :при выходе пользователя из системы

UTMLogout_script.vbs

Set IE = CreateObject("InternetExplorer.Application")IE.Visible = TrueIE.Fullscreen = FalseIE.Toolbar = FalseIE.StatusBar = FalseIE.Navigate "https://IP-адрес UTM/core/logout.php?web_auth"IE.Visible = falseWScript.Sleep(500)IE.Quit

(вместо "IP-адрес UTM" - укажите IP-адрес локального интерфейса Ideco UTM).

Возможные ошибки выполнения скриптов

Если пользователь видит окно Internet Explorer с текстом "Для получения доступа требуется аутентификация" и авторизация происходиттолько при ручном переходе по ссылке на авторизацию, значит по каким-то причинам не происходит редирект в браузере на страницуавторизации (он может быть ограничен настройками безопасности браузера).

Для обхода этой ошибки вы можете поместить сайт в зону "Местная интрасеть", тогда авторизация будет происходить прозрачно.http://ya.ru


http://ya.ru

Для обхода этой ошибки вы можете поместить сайт в зону "Местная интрасеть", тогда авторизация будет происходить прозрачно.http://ya.ruТакже параметр "Активных сценариев" в Internet Explorer должен быть установлен в значение "Включить":

Проверка пользователя

Возможность учетной записи авторизоваться и подключиться к серверу, а также получить доступ в сеть Интернет зависит от большого количествапараметров: как от собственных, так и от настроек родительских групп.

Для того чтобы проверить правильность настройки или определить причину, по которой пользователь не может подключиться или выйти в интернет, вIdeco UTM реализована функция ."Проверка возможности подключения и работы в интернет"

Для проверки учетной записи выберите её и нажмите на ссылку . Доступные действия с учетной записью"Проверить возможность подключения"пользователя показаны ниже.

В результате работы функции проверки будет выдано одно из следующих сообщений, рассмотренных в этой таблице.

Сообщение Описание

Пользователь отключен Учетная запись пользователя деактивирована. Вы можете включить её в разделе настроек учетной записи.

Отключен один из родителей Группа, которой принадлежит учетная запись пользователя, деактивирована. Вы можете включить ееё в разделенастроек учетной записи.

http://ya.ru

Параметры указаны верно,превышен лимит

Все параметры учетной записи пользователя указаны корректно. Отсутствие доступа в интернет вызванопревышением установленного .лимита трафика

Все параметры пользователяуказаны верно

Все параметры учетной записи пользователя указаны корректно. Доступен выход в сеть Интернет.

Нет профиля Пользователю не назначен профиль.

Профиль отключен Профиль, назначенный на учетную запись пользователя, деактивирован.

Не назначен пул Пул IP-адресов не назначен на пользователя или группу (он, должен быть назначен на группукак минимум, "Все").

Пользователи терминального сервера

Терминальный сервер служит для удаленной работы пользователей с предоставлением каждому пользователю отдельного рабочего стола. Как правило,терминальный сервер предоставляет сервис для работы десятков или даже сотен пользователей.

Авторизация терминального сервера

Если у администратора нет необходимости отдельной авторизации пользователей терминального сервера и к ним могут быть применены одинаковыенастройки доступа (контент-фильтра и пользовательского файрвола), то можно авторизовать сервер, как одного пользователя.

Лучший вариант для этого - .авторизация по IP-адресу

Обратите внимание, что при большом количестве пользователей на сервере терминалов, может потребоваться увеличить количество одновременныхсессий с одного адреса в .дополнительных параметрах безопасности

Авторизация пользователей терминального сервера

Возможна терминального сервера (работающего под управлением ОС Windows Server 2008 R2 и Windows Serverраздельная авторизация пользователей2012) с помощью или по . При этом сам сервер по IP авторизовать не нужно.авторизации через Ideco Agent Kerberos

Для раздельной авторизации пользователей терминального сервера на сервере терминалов нужно настроить , а наRemote Desktop IP Virtualizationсервере Ideco UTM настроить авторизацию пользователей через Ideco Agent или по Kerberos/NTLM/Web согласно инструкции.

Настройка Remote Desktop IP Virtualization на Windows Server 2012

Для работы функции на одном из Windows-серверов должна быть добавлена роль DHCP-сервера (с другимиRemote Desktop IP VirtualizationDHCP-серверами данная функция может работать некорректно) и выделена область IP-адресов для пользователей терминального сервера.

Установка службы:

Путь: Редактор локальной групповой политики – Конфигурация компьютера – Административные шаблоны – Служба удаленных рабочих столов – Узелсеансов удаленных рабочих столов – :Совместимость приложенийвключить опцию Включить IP-виртуализацию удаленных рабочих столов в групповой политике с параметром Для сеансов :« » « »

https://doc.ideco.ru/pages/viewpage.action?pageId=4981010

https://cloudblogs.microsoft.com/enterprisemobility/2009/07/10/configuring-remote-desktop-ip-virtualization-part-1/

Рекомендуется включить опцию Не использовать IP-адрес сервера узла сеансов удаленных рабочих столов, если виртуальный IP-адрес недоступен .« »Проверить, что настройки изменились, можно командой в PowerShell:

Get-WmiObject -Namespace root\cimv2\TerminalServices –query "select * from Win32_TSVirtualIP"

где значения должны быть: VirtualIPActive = 1 (вкл.виртуализация) и VirtualIPMode=0 (для сессии).

Воспользуйтесь вариантом установки, если описанный выше вариант не подходит.альтернативным

Квоты

В Ideco UTM есть возможность использовать лимиты трафика для пользователей. Настройки квот (количество разрешенного трафика и период)задаются для профиля, который может быть назначен для пользователей или групп, в дереве пользователей. На вкладке Квота конкретного« »пользователя можно увидеть его текущий баланс и вручную увеличить его при необходимости.

Настройка профиля

Шаг 1. Создайте профиль в разделе "Сервисы -> Профили выхода в Интернет".

Для использования лимитов трафика установите флажок Использовать квоты трафика .« »Выберите период, на который будет выделяться квота (день, неделя, месяц, квартал), а также количество мегабайт трафика, выделенного на период.

При истечении квоты внешние сети для пользователя будут блокированы.

Настройка пользователя

Созданный профиль вы можете применить к пользователям или группам пользователей.

Количество израсходованного трафика можно посмотреть на вкладке "Квота". Здесь же можно его увеличить, указав нужное количество мегабайт инажав на кнопку "Увеличить". Права на увеличения баланса для пользователей есть у главного и технического администраторов.

Wi-Fi сети

В текущей версии Ideco UTM не поддерживает Wi-Fi адаптеры. Для работы беспроводных клиентов необходимо использовать специальныебеспроводные точки доступа или Wi-Fi-маршрутизаторы.

Для выхода в Интернет пользователей, подключающихся по Wi-Fi, необходима их авторизация на UTM или авторизация Wi-Fi роутера - это зависит отрежима работы устройства, раздающего Wi-Fi.

Режим точки доступа (bridge)

В данном режиме устройство Wi-Fi предоставляет возможность беспроводным клиентам подключаться к локальной сети.

Таким образом на Ideco UTM необходимо будет индивидуально авторизовать всех беспроводных клиентов. Как правило, проще всего сделать это спомощью авторизации по IP. Воспользуйтесь следующими рекомендациями по настройке:

Настройте раздачу по DHCP беспроводным клиентам определенного диапазона IP-адресов. Желательно вообще использовать отдельнуюлогическую сеть для клиентов Wi-Fi (на локальный интерфейс Ideco UTM при этом нужно будет добавить IP-адрес, служащий шлюзом дляданной сети).Пример:

где адрес: 10.0.0.1/24 - шлюз для локальной Ethernet-сети,

http://social.technet.microsoft.com/wiki/ru-ru/contents/articles/22770.windows-server-2012-r2-ip.aspx

где адрес: 10.0.0.1/24 - шлюз для локальной Ethernet-сети,10.0.1.2/24 - шлюз для беспроводной Wi-Fi сети.

С помощью пользователей с авторизацией по IP создайте группу пользователей из всего диапазона адресов,группового добавлениявыделенного для Wi-Fi сети.Или настройте из выдаваемого устройствам диапазона IP_адресов.автоматическое создание пользователейС помощью и настройте необходимые ограничения для пользователей Wi-Fi.контент-фильтра файрволаВ системном файрволе при необходимости вы можете запретить доступ из беспроводной сети в локальную сеть, создав правило:

При необходимости индивидуальной авторизации Wi-Fi пользователей (учета трафика и статистики каждого конкретного пользователя устройств)необходимо воспользоваться авторизацией .через веб-браузер

При таком способе авторизации пользователей Ideco UTM будет учитывать каждого пользователя, подключившегося по Wi-Fi. Учтите этот момент припланировании лицензирования Ideco UTM.

Режим роутера

В данном режиме устройство Wi-Fi скрывает за NAT устройства беспроводной сети. Таким образом для Ideco UTM достаточно будет авторизоватьтолько точку доступа, как одного из пользователей.

Общие ограничения контент-фильтра и файрвола для Wi-Fi сети необходимо применять к данному пользователю.

При этом способе авторизации Ideco UTM будет учитывать только точки доступа Wi-Fi, в качестве лицензируемых пользователей.

Типы авторизации

Процесс авторизации – необходимое условие для доступа пользователя в сеть Интернет. Существует несколько способов авторизации, с которыми выможете ознакомиться в текущем подразделе.

Все виды авторизации на Ideco UTM являются IP-based (работают на основе IP адреса хоста) и любая сессия авторизации привязана к IP хоста, скоторого она установлена.Под одной пользовательской учетной записью возможна одновременная авторизация до 3-х устройств.

Пользователь автоматически разавторизуется при не активности (отсутствии соединений с сетью Интернет) в течении 15 минут.

Авторизация по IP-адресу

Данный тип авторизации предполагает, что авторизация устройства пользователя будет осуществляться по его IP-адресу или IP+MAC-адресу.

Чтобы включить авторизацию по IP-адресу для пользователя, перейдите в общие настройки соответствующей учетной записи и включите авторизациюпо IP. Также необходимо назначить IP-адрес устройству, с которого пользователь будет получать доступ в сеть Интернет. Это можно сделать вручнуюили воспользоваться возможностью автоматического выбора из пула адресов (если пул адресов указан), нажав на соответствующую кнопку вweb-интерфейсе. Форма назначения IP-адреса устройства представлена ниже.

Для включения дополнительной привязки по MAC-адресу его также необходимо указать в соответствующем поле. Вы можете сделать это вручную илиавтоматически. Учтите, что для автоматического получения MAC-адреса сетевое устройство должно быть включено и находиться в одном сетевомсегменте с UTM.

Вы можете воспользоваться для автоматического создания пользователей при их попытке выхода в Интернет.поиском устройств

Под одним пользователем можно авторизовать только одно устройства по IP-адресу (одновременно с данным типом авторизации можно авторизоватьеще два устройства любым другим методом авторизации).

Добавление группы устройств с авторизацией по IP

Возможно добавление пользователей из диапазона IP-адресов (например, сети, раздаваемой точками доступа беспроводным устройствам по Wi-Fi).

Для этого нужно нажать кнопку " " в нужной группе в дереве пользователей.Создать пользователей

Откроется окно с настройками создаваемых пользователей:

Префикс имени. Пользователи будут созданы с именем вида "Пользователь IP-адрес".Префикс логина. Пользователи будут созданы с логином вида "user_ip-адрес".IP-адрес первого и последнего пользователя. Максимальное количество IP-адресов в диапазоне не должно превышать 1024.

В случае, если некоторые IP-адреса из диапазона уже используются другими пользователями Ideco UTM, они будут пропущены при создании.

Пользователи будут созданы с настройками, наследуемыми от группы и указанным IP-адресом:

Авторизация по PPTP

Данный тип предполагает авторизацию по защищенному сетевому туннелю между сетевым устройством пользователя и интернет-шлюзом Ideco UTM.Для аутентификации пользователя применяется связка логин/пароль. Для авторизации по протоколу PPTP необходимо назначить IP-адрес сетевомуустройству, а также настроить на нем подключение по протоколу PPTP с указанием IP-адреса интернет-шлюза Ideco UTM в качестве адресаPPTP-сервера. При успешной аутентификации и установлении сетевого туннеля сетевому устройству будет автоматически назначен дополнительныйIP-адрес для получения доступа к ресурсам сети Интернет. Использование авторизации по PPTP никак не отражается на возможности доступа сетевогоустройства к ресурсам локальной сети.

Прежде всего убедитесь, что в меню активирован пункт .Сервисы -> Авторизация пользователей "Авторизация по PPTP"

Также необходимо убедиться в том, что для учетной записи указаны логин и пароль, которые пользователь будет использовать для аутентификации.Форма для логина и пароля доступна на вкладке "Пользователи" при выделении нужного пользователя.

IP-адрес пользователю назначается автоматически из пула адресов для VPN (10.128.0.0/16).

При таком способе авторизации можно также использовать для более надежного шифрования входящего/исходящего трафика до шлюза.L2TP/IPsec

Авторизация по PPPoE

Авторизация по протоколу PPPoE предполагает авторизацию по защищенному сетевому туннелю между сетевым устройством пользователя и сервером.Аутентификация пользователя осуществляется по связке Логин/Пароль. При данном типе авторизации не требуется назначение IP-адреса рабочейстанции, так как IP-адрес будет автоматически назначен в случае успешной аутентификации и создания защищенного сетевого туннеля.

Прежде всего убедитесь, что в меню активирован пункт , показанный далее.Сервисы -> Авторизация пользователей " "Авторизация по PPPoE

Также необходимо убедиться в том, что для учетной записи указаны логин и пароль, которые пользователь будет использовать для аутентификации.Редактирование логина и пароля возможно на вкладке "Пользователи" при выделении нужного пользователя.

IP-адрес будет автоматически назначен устройству из пула адресов для VPN (10.128.0.0/16).

Авторизация по PPPoE возможна только в одном ethernet-сегменте с локальными интерфейсами Ideco UTM.

Авторизация через Ideco Agent

Для управления доступом в интернет пользователей с установленной специализированной программой-агентом. Доступ будет обеспечен только в товремя, когда пользователь авторизован с помощью этой программы. Программа должна быть установлена на рабочей станции пользователя илизапускаться с удаленного сервера при входе в систему.

Для авторизации с помощью программы-агента необходимо загрузить программу с локального web-сайта и сохранить ее в произвольный каталог.Получить программу-авторизатор Ideco Agent можно на при входе в систему, в меню справа, как показано ниже.странице авторизации

Необходимым условием успешной авторизации с помощью IdecoAgent является указание в настройках сетевой карты в качестве шлюза и в качествесервера DNS локального адреса интернет-шлюза Ideco UTM. При необходимости нужно разрешить в межсетевом экране подключение на сетевой порт800/TCP из внутренней сети. Авторизация через Ideco Agent невозможна если вы хотите использовать прямые подключения к прокси-серверу.

После запуска программы необходимо ввести логин и пароль пользователя. Состояние авторизации отображается иконкой в системном лотке.Возможные состояния представлены в следующей таблице.

Индикация статуса соединения в Ideco-агент

Программа не активна

Идет подключение к серверу

Доступ в интернет разрешен

Сработал лимит предупреждения

Сработал лимит отключения

Произошла ошибка. Доступ в интернет запрещен.

В контекстном меню иконки доступны пункты, описанные в таблице ниже.

Пункт меню Значение

Подключить Отображение диалога подключения.

Отключить Отключиться от сервера.

Информация Отобразить информацию о подключении к интернет – баланс, порог отключения и т.д.

Запускаться при входе в систему Установить автоматический запуск программы при входе в Windows.

О программе Вывод информации о программе авторизации.

Веб-авторизация

Данный тип авторизации предполагает, что любой запрос неавторизованного пользователя, сделанный через web-браузер, будет перенаправляться наспециальную страницу авторизации Ideco UTM. Для этого типа авторизации в качестве шлюза по умолчанию обязательно должен быть указан IP-адрес

При использовании Ideco Agent в домене AD рекомендуется расположить IdecoAgent.exe на общем сетевом ресурсе и установить вполитике входа в домен запуск приложения IdecoAgent.exe с ключом domain. Таким образом, запуск агента будет централизован, ине потребуется его установка на каждый компьютер.При смене локального адреса Ideco UTM обязательно нужно повторно скачать Ideco Agent с сайта, поскольку локальный адрессервера встраивается в приложение при скачивании.

специальную страницу авторизации Ideco UTM. Для этого типа авторизации в качестве шлюза по умолчанию обязательно должен быть указан IP-адреслокального сетевого интерфейса Ideco UTM. Также до подключения к Интернету должен работать DNS-резолвинг адресов.

Убедитесь в том, что в разделе Сервисы -> Авторизация пользователей активированы следующие пункты: "Веб-авторизация и " "Авторизация черезвеб-интерфейс", представленный ниже.

Процесс выхода пользователя в интернет представлен на фрагменте ниже.

После прохождения пользователем web-авторизации доступ в сеть Интернет будет предоставлен до тех пор, пока авторизация не будет принудительноотменена или по истечении 15-минутной не активности пользователя. Для ручной разавторизации пользователю необходимо открыть в браузереweb-интерфейс Ideco UTM и нажать кнопку "Отключить . Процесс отключения авторизации вы можете увидеть ниже."

Single Sign-On аутентификация через Active Directory

Настройки сервера для возможности прозрачной (Single Sign-On) авторизации пользователей, импортированных из Microsoft Active Directory, описаныв статье .авторизация пользователей Active Directory

Публикация ресурсов

С помощью Ideco UTM вы можете безопасно опубликовать имеющиеся в вашей локальной сети ресурсы для доступа к ним из сети Интернет.

Публикация веб-приложений (обратный прокси-сервер)Настройка почтового релея для публикации сервера в локальной сетиПортмаппинг (проброс портов, DNAT)Настройка публичного IP-адреса на компьютере в локальной сетиДоступ из внешней сети без NAT

Публикация веб-приложений (обратный прокси-сервер)

При заходе на HTTPS-сайт, пользователь должен подтвердить доверие к сертификату Ideco UTM. Либо сертификат должен быть добавлен вдоверенные корневые центры сертификации на устройстве (например домена).через политики

DNS-сервер, указанный на компьютере или устройстве пользователя, должен поддерживать разрешение интернет имен до подключениякомпьютера к интернету. Иначе запрос браузера не будет перенаправлен на шлюз и, соответственно, в браузере не появитсяexample.comзапрос логина-пароля.Рекомендуется указывать в качестве DNS-сервера на компьютерах и устройствах локальной сети IP-адрес локального интерфейса Ideco UTM.Проверить разрешение имен в Windows можно командой: , её вывод должен содержать IP-адреса.nslookup ya.ru

https://doc.ideco.ru/pages/viewpage.action?pageId=2261286#id-%D0%9D%D0%B0%D1%81%D1%82%D1%80%D0%BE%D0%B9%D0%BA%D0%B0%D1%84%D0%B8%D0%BB%D1%8C%D1%82%D1%80%D0%B0%D1%86%D0%B8%D0%B8HTTPS-%D0%94%D0%BE%D0%B1%D0%B0%D0%B2%D0%BB%D0%B5%D0%BD%D0%B8%D0%B5%D1%81%D0%B5%D1%80%D1%82%D0%B8%D1%84%D0%B8%D0%BA%D0%B0%D1%82%D0%B0%D1%87%D0%B5%D1%80%D0%B5%D0%B7%D0%BF%D0%BE%D0%BB%D0%B8%D1%82%D0%B8%D0%BA%D0%B8%D0%B4%D0%BE%D0%BC%D0%B5%D0%BD%D0%B0MicrosoftActiveDirectory

http://example.com

http://ya.ru

1.

2.

3.

Публикация веб-приложений (обратный прокси-сервер)

Публикация веб-серверов возможна через .обратный прокси сервер

Настройка почтового релея для публикации сервера в локальной сети

Если Ideco UTM имеет внешний IP-адрес и на него зарегистрирован домен и настроены необходимые записи у регистратора и провайдера, но вы хотитечтобы отправкой и доставкой почты занимался другой сервер (к примеру заранее настроенный Exchange сервер в локальной сети), то Ideco UTM можетретранслировать всю входящую почту на эту машину.

Перед настройкой почтового релея убедитесь что на Ideco UTM включен почтовый сервер.Для этого включите встроенную почту по POP3 или IMAP протоколу в разделе веб-интерфейса и сохраните Почтовый сервер ОбщиеСервер -> ->настройки.

Для настройки почтового релея обратимся к соответствующему разделу веб-интерфейса: Почтовый сервер Безопасность Relay-доменыСервер -> -> ->

В этом пункте нужно добавить запись вида: mydomain.ru|10.20.30.40, где:

mydomain.ru - ваш почтовый домен, зарегистрированный в Интернете на публичный адрес Ideco UTM.

10.20.30.40 - адрес вашего почтового сервера в локальной сети.

При настройке почтового релея на Ideco UTM принципиально, чтобы почтовый домен Ideco отличался от Relay-домена. В поле вПочтовый доменнастройках почтового сервера можно прописать вымышленный домен не совпадающий с зарегистрированным. Таким образом можно указать несколькоRelay-доменов для нескольких разных серверов в локальной сети. Все почтовые домены должны быть ассоциированы с внешним адресом сервера IdecoUTM (A и MX записи в DNS-зоне).

При такой схеме Ideco UTM будет пропускать, проходящую через себя, почту прямо на почтовый сервер в локальной сети. Попутно письма могутпроверяться на вирусы и спам, просто включите соответствующие сервисы в веб-интерфейсе Ideco UTM.

Ideco UTM будет принимать почту, адресованную только для указанного Relay-домена. Любая другая почта будет отвергнута сервером, таким образомвозможность получения открытого почтового релея при настройке исключена.

Портмаппинг (проброс портов, DNAT)

Часто нужно настроить сервер таким образом, чтобы он предоставлял возможность доступа к сетевой службе, работающей на сетевом устройстве влокальной сети с приватным ("серым") IP-адресом. Это называется публикацией сервиса (или сетевой службы) в сети Интернет. Публикация службы,доступной в локальной сети на устройстве, имеющем приватный IP-адрес, для возможности доступа к ней из внешних сетей, работает путем трансляции("проброса") любого неиспользуемого на внешнем ("публичном") IP-адресе сервера Ideco сетевого порта на порт соответствующего сервиса,работающего на сетевом устройстве в локальной сети. При этом все обращения из внешних сетей на публичный адрес сервера Ideco по транслируемомупорту будут перенаправлены на публикуемый порт службы, работающей на сетевом устройстве в локальной сети. Также эта технология называетсяDNAT. Техническая реализация заключается в создании правила типа DNAT в системном файрволе Ideco с указанием адресов сервера и публикуемоймашины и сетевого порта, с которого и на который будет осуществляться трансляция сетевых запросов извне.

Создание правила DNAT в файрволе Ideco UTM

Рассмотрим конкретный пример. Допустим, что публичный адрес сервера Ideco : 1.2.3.4. Публикуемая служба: RDP (Remote Desktop), работающая по3389 TCP порту. Адрес компьютера в локальной сети, на котором запущена служба и к которой нужно получить доступ извне: 192.168.0.10. Теперь,чтобы настроить трансляцию запросов к этой службе извне через сервер Ideco на устройство в локальной сети, нужно сделать следующее:

Настроить авторизацию для сетевого устройства в локальной сети. на Ideco и иметь доступ кСетевое устройство должно быть авторизованосети Интернет для того чтобы порт был проброшен на него. Как правило, для публикуемых устройств используется авторизация по IP сзаданным IP-адресом на сетевом устройстве.Создать правило трансляции портов (DNAT) в разделе административного веб-интерфейса сервера.Правила -> Системный файрволИсходя из первоначальной задачи, правило будет выглядеть так:Применить настройки файрвола, нажав кнопку .Перезапустить

Аналогичным образом можно пробросить диапазон портов. Для этого в порте назначения укажите нужный диапазон, например 10000-20000, а в поле"Переадресовать на" укажите порт 0.

Не используйте проброс портов для публикации . Для их публикации воспользуйтесь,веб и почтовых серверов (80, 443, 25 порты)пожалуйста, и . Так ваши сервера будут лучше защищены от атак из сети Интернет.обратным прокси-сервером почтовым релеем

Что делать если у вас нет статического IP адреса ?

Нужно создать правило аналогичное первому, но в графе Destination указать подсеть 0.0.0.0/0. В поле указать имя интерфейсаВходящий интерфейс(можно посмотреть в локальной консоли командой ), например Eeth2 или Eppp3: ifconfig

Проверять работу правила DNAT надо из Интернет, а не из локальной сети.Измените IP-адреса и порты, используемые в примере на реальные данные вашей задачи. Например, для публикации веб-сервера,транслировать запросы нужно на 80 порт.Порт на внешнем интерфейсе сервера, с которого будут транслироваться запросы, может отличаться от публикуемого порта самойслужбы. Например, можно транслировать внешние запросы на порт 4489 в локальную сеть на порт 3389, чтобы воспрепятствоватьавтоматическим попыткам подключения вредоносного ПО на популярный сервис.Также, в целях защиты от нежелательных подключений к публикуемой службе, рекомендуется указывать IP-адрес или подсеть, скоторой разрешено подключаться к публикуемой службе в поле создаваемого правила. Если разрешается подключение сИсточникопределенного IP-адреса в интернете, то указывается IP-адрес хоста с полной маской (34.56.78.81/32), если разрешается доступ дляподсети, то указывается адрес сети с маской подсети (34.56.78.80/28). Если осуществляется трансляция с порта 3389 на порт 3389локального сервера (один и тот же порт), то можно не указывать 3389 в поле "Порт:" рядом с полем "Переадресовать на адрес:", аоставить там 0 или пустое значение. Система автоматически переадресует запрос на соответствующий порт устройства в локальнойсети.

1.

2.

3. 4.

Как настроить правило DNAT для подключения на внешний адрес из локальной сети?

Рассмотренные выше примеры, работают только при подключении из сети Интернет. Для того, чтобы из локальной сети тоже можно было подключатьсяна внешний IP-адрес необходимо:

На локальной сетевой карте сервера Ideco настроить дополнительный IP-адрес из непересекающейся сети, например, если основной адрес192.168.0.1/255.255.255.0, то в качестве дополнительного можно использовать 172.16.1.1/255.255.255.0.На сервере в локальной сети настроить адрес из дополнительной сети, например, 172.16.1.10/255.255.255.0 не пересекающейся с остальнойлокальной сетью. Настройка сервера таким образом необходима во избежание появления асимметричной маршрутизации и принудит клиентовлокальной сети работать с сервером исключительно посредством шлюза Ideco UTM.Настроить авторизацию по IP для сервера по заданному ему IP-адресу (172.16.1.10).Создать правило трансляции портов (DNAT) в разделе административного веб-интерфейса сервера.Правила -> Системный файрволИсходя из заданных примеров, правило будет выглядеть так:

Учтите что маска назначения в правилах трансляции адресов (DNAT) всегда является полной маской хоста, то есть "255.255.255.255", так кактрансляция трафика производится с конкретного IP-адреса.

Устранение неполадок:

Сетевое устройство в локальной сети, на которое делается трансляция запросов, должно быть авторизовано на сервере и иметь доступ к сетиИнтернет. Убедитесь, что от клиента есть ping на внешние ресурсы. Кроме того основным шлюзом на данном устройстве должен бытьлокальный IP-адрес Ideco UTM (либо прописан соответствующий маршрут).Необходимо учитывать, что публикуемая служба должна отвечать клиенту во внешней сети через тот же внешний интерфейс сервера, скоторого пришел изначально запрос. Если в созданном правиле в поле указан публичный IP-адрес сервера для приемаНазначениеподключений извне, несоответствующий публичному IP-адресу в поле в свойствах учетной записи пользователя, то ответы отNATпубликуемой службы дойдут до клиента "не с той стороны" и соединение не будет работать. Это может случиться при использованиинескольких провайдеров для выхода в сеть Интернет или при использовании на сервере нескольких публичных IP-адресов одного провайдера.Брэндмауэр Windows или другие программы защиты часто блокируют соединения к системе с внешних адресов в интернете. В таких случаяхправило на сервере работает и трафик перенаправляется на сервер в локальной сети, но он отвергает подключение, что для клиента,подключающегося извне, выглядит как отказ в соединении или отсутствие связи с сервером, и может показаться, что правило трансляциизапросов на сервере не работает. Для диагностики отключите все брандмауэры, файрволы и антивирусы на целевом устройстве.При создании правила часто указывают порт источника. Это ошибка, поскольку в большинстве подключений порт источника генерируетсяавтоматически и задать это условие невозможно, указывать нужно только порт назначения и порт сетевого устройства в локальной сети.Правило портмаппинга будет осуществлять проброс трафика извне на хост в локальной сети. Трафик запроса ресурса из этой же локальнойсети при обращении на внешний адрес не будет проброшен правильно. Будет иметь место асимметричная маршрутизация. При диагностикесетевыми утилитами подключайтесь из внешних для UTM сетей. Внутри локальной сети обращайтесь к сервису по его IP-адресу в локальнойсети. Альтернативно можно вынести ресурс в отдельную локальную сеть, DMZ, и избежать асимметричной маршрутизации, после чегообращаться к ресурсу из локальной сети клиентов по внешнему IP-адресу. Пример настройки портмаппинга с использованием DMZ-сети дляресурса описан выше.Правила портмапинга не работают в режиме " ".Разрешить Интернет всем

Настройка публичного IP-адреса на компьютере в локальной сети

Ситуация №1

Провайдер выдал блок IP-адресов 223.123.123.2 - 223.123.123.6 (сеть 223.123.123.0/255.255.255.248 или 223.123.123.0/29) и шлюз у провайдера -223.123.123.1. Таким образом сеть публичных адресов находится в одной сети с шлюзом провайдера.

Настройки внешнего интерфейса UTM:

указать IP-адрес 223.123.123.2 с маской 255.255.255.252 (/30 См. примечания)

указать IP-адрес 223.123.123.2 с маской 255.255.255.252 (/30 См. примечания)указать шлюз в Интернет 223.123.123.1настроить ProxyArp на диапазон адресов 223.123.123.5-223.123.123.6включить чекбокс Proxy Arp

Настройки локального интерфейса UTM:

добавить к существующему локальному IP-адресу (по умолчанию - 192.168.0.1) адрес 223.123.123.4 с маской, выданной провайдером -255.255.255.248 (/29).включить чекбокс Proxy Arp

Настройки учетной записи пользователя на шлюзе:

в поле IP-адрес указать IP-адрес устройства из диапазона 223.123.123.2-223.123.123.6выбрать желаемый тип авторизации для устройства (IP или VPN).

Настройки устройства в локальной сети при использовании на шлюзе авторизации по IP для этого устройства:

указать IP-адрес 223.123.123.5 (или другой из диапазона 223.123.123.5-223.123.123.6) с маской, выданной провайдером - 255.255.255.248 (/29)указать шлюз 223.123.123.4указать выданные провайдером адреса DNS-серверов

Настройки устройства в локальной сети при использовании на шлюзе авторизации по VPN для этого устройства:

настроить PPtP соединение на устройстве, используя логин и пароль учетной записи на шлюзе и локальный адрес шлюза в качестве сервера дляподключения. Публичный адрес будет выдан устройству в процессе установления защищенного VPN канала между устройством и шлюзом.

Выполнить перезагрузку сервера, после чего проверить связь с устройством, на который вы пробросили белый IP-адрес, из Интернет.


Провайдер выдал смаршрутизированную подсеть 223.123.123.0/255.255.255.248 и дополнительные IP-адреса из другой подсети для шлюза225.10.10.1/255.255.255.252 на стороне провайдера и 225.10.10.2/255.255.255.252 на стороне пользователя. Таким образом, сеть публичных адресовнаходится в отдельной сети от шлюза провайдера, но смаршрутизирована на шлюз провайдера. Настройки шлюза отличаются от первой ситуации тольконастройкой внешнего интерфейса и возможностью выделить всю выданную провайдером сеть, кроме адреса первого хоста в сети, для подключенияклиентов в локальной сети.


указать IP-адрес 225.10.10.2 с маской 255.255.255.252 (/30 См. примечания)указать шлюз в Интернет 225.10.10.1настроить ProxyArp на диапазон адресов 223.123.123.1-223.123.123.6включить чекбокс Proxy Arp


добавить к существующему локальному IP-адресу (по умолчанию - 192.168.0.1) адрес 223.123.123.1 с маской, выданной провайдером -255.255.255.248 (/29)включить чекбокс Proxy Arp

Настройки учетной записи пользователя на шлюзе:

В поле IP-адрес указать IP-адрес устройства из диапазона 223.123.123.2-6Выбрать желаемый тип авторизации для устройства (IP или VPN).

Настройки устройства в локальной сети при использовании на шлюзе авторизации по IP для этого устройства:

указать IP-адрес 223.123.123.2 (или другой из диапазона 223.123.123.2-6) с маской, выданной провайдером - 255.255.255.248 (/29)указать шлюз 223.123.123.1указать выданные провайдером адреса DNS-серверов

Настройки устройства в локальной сети при использовании на шлюзе авторизации по VPN для этого устройства:

настроить PPtP соединение на устройстве, используя логин и пароль учетной записи на шлюзе и локальный адрес шлюза в качестве сервера для

подключения. Публичный адрес будет выдан устройству в процессе установления защищенного VPN канала между устройством и шлюзом.

1.

2.

При настройке внешнего интерфейса нужно сократить маску сети, выданной провайдером (в примере /29), до сети, включающейтолько два хоста (/30), так, чтобы первым хостом в этой сети оказался шлюз провайдера. Второй IP-адрес из полученной сети мыпрописываем на внешнем интерфейсе шлюза. Это необходимо, чтобы влиять на механизм принятия решения о маршруте так, что,если в пересылке сетевых пакетов участвуют только адрес шлюза провайдера или адреса внешнего интерфейса UTM , то пакетымаршрутизируются на внешний интерфейс UTM. Если в пересылке участвуют остальные адреса сети, предназначенные дляабонентов локальной сети, то они маршрутизируются на локальный интерфейс шлюза.В данном примере на локальном интерфейсе нельзя прописать адрес 223.123.123.3, так как он является широковещательным длясети 223.123.123.0/30.

1.

подключения. Публичный адрес будет выдан устройству в процессе установления защищенного VPN канала между устройством и шлюзом.

Выполнить перезагрузку сервера, после чего проверить связь с устройством VoIP или компьютером из Интернет.


Провайдер выдал блок адресов 223.123.123.2 - 223.123.123.6 (сеть 223.123.123.0/255.255.255.248) и шлюз у провайдера - 223.123.123.1, ноподключаемые VoIP или другие устройства или компьютеры имеют возможность авторизации по VPN.


указать IP-адрес 223.123.123.2 с маской 255.255.255.248указать шлюз в Интернет 223.123.123.1настроить ProxyArp на диапазон адресов 223.123.123.3-223.123.123.6

Настройки учетной записи для VoIP или другого устройства в веб-интерфейсе:

в поле "IP" указать один из адресов диапазона 223.123.123.3-6, например 223.123.123.3в списке "Тип авторизации" выбрать "VPN, PPTP, PPPOE"

Настроить подключение по VPN на VoIP или другом устройстве с указанием DNS-серверов провайдера.



Провайдер выделил несколько IP-адресов (блок) из большой подсети - 223.123.154.18-223.123.154.22 с маской 255.255.255.0 и шлюзом 223.123.154.1 .Сама сеть может быть разделена между вами и другими абонентами провайдера и адреса из этой сети не принадлежащие выделенному вам блоку выиспользовать не можете. Отличается от предыдущих двух случаев невозможностью искусственного усечения сети провайдера до двух адресов принастройке внешнего интерфейса шлюза.


указать IP-адрес 223.123.154.18 с маской 255.255.255.0 (/24)указать шлюз в Интернет 223.123.154.1настроить ProxyArp на диапазон адресов 223.123.123.20-223.123.123.22включить чекбокс Proxy Arp


добавить к существующему локальному IP-адресу (по умолчанию - 192.168.0.1) адрес 223.123.154.19 с маской, выданной провайдером -255.255.255.0 (/24)включить чекбокс Proxy Arp

Настройки компьютера или устройства VoIP:

указать IP-адрес 223.123.154.20 (или другой из диапазона 223.123.154.20-22) с маской, выданной провайдером - 255.255.255.0указать шлюз 223.123.154.19указать выданные провайдером адреса DNS-серверов


Доступ из внешней сети без NAT

При необходимости (как правило, когда Ideco UTM расположен внутри локальной сети, а не на границе с Интернетом) возможно организовать прямойдоступ со стороны внешнего интерфейса Ideco UTM в локальную сеть без использования NAT.

Для примера разберем настройку файрвола для доступа к локальной сети с одного IP-адреса: (в общем случае это также может быть сеть или10.0.0.1диапазон IP-адресов).

В системном файрволе необходимо создать группу правил для обхода NAT с этого IP-адреса

1. 2.

При вычислениях сетей, масок и доступных IP-адресов советуем использовать ресурс в интернете http://ip-calculator.ru/Диапазон ProxyArp всегда содержит в себе непосредственно адреса клиентов в локальной сети, не включая публичные адресалокального и внешнего интерфейсов шлюза.

http://ip-calculator.ru/

1.

2. В файле создайте текст следующего содержания:ics_tune.sh

#!/bin/bash if [ "$1" = "firewall_custom.sh" ]; theniptables -I FORWARD -s 10.0.0.1 -j ACCEPTiptables -I FORWARD -d 10.0.0.1 -j ACCEPT

fi

Перезапустите системный файрвол из веб-интерфейса.

На устройствах локальной сети Ideco UTM должен использоваться в качестве основного шлюза, либо должен быть прописан необходимыймаршрут к внешним IP-адресам через Ideco UTM.

Мониторинг

В разделе «Мониторинг» веб-интерфейса Ideco UTM можно получить данные о авторизованных на сервере пользователях, загрузки процессора иинтерфейсов, а также посмотреть данные о трафике в режиме реального времени.

Интеграция с внешними системами мониторинга и анализа системных логов, описана в данном разделе документации.

Пересылка системных сообщений

Включение этого модуля даёт возможность передавать все системные сообщения (syslog) Ideco UTM в сторонние коллекторы (Syslog Collector) или вSIEM-системы.

В качестве коллектора можно указывать только IP-адрес из приватных диапазонов.

Для применения настроек необходимо выполнить перезагрузку.

SNMP

Данный модуль позволяет осуществлять мониторинг работы Ideco UTM по протоколу SNMP версий 1/2c/3.

Для доступа настройте имя пользователя, пароль и ключ шифрования.

Также можно внести IP-адреса и сети в доверенные, чтобы они получили доступ к данным с Ideco UTM.

Интеграция с Zabbix

Интеграция с системой мониторинга Zabbix возможна в двух режимах.

Активный режим - соединение с Zabbix-сервером происходит со стороны Ideco UTM.Для настройки этого режима заполните поля:

Hostname Ideco UTM - имя сервера Ideco UTM, как оно будет отображаться на сервере мониторингаАдрес сервера: IP-адрес, доменное имя, либо IP-адрес:порт, доменное имя:порт в случаях если используется на стандартный для Zabbixвходящий порт. Обязательно нажмите "+" при добавлении адреса.

Пассивный режим - подключение происходит со стороны Zabbix-сервера.

маршрут к внешним IP-адресам через Ideco UTM.

На устройствах из внешней сети (по-отношению к Ideco UTM) также Ideco UTM должен использоваться в качестве основного шлюза, либоиметься маршрут к локальной сети через Ideco UTM.

Передача системных сообщений происходит согласно RFC-5424 (транспорт UDP).

Пассивный режим - подключение происходит со стороны Zabbix-сервера.Для настройки этого режима заполните поля:

Порт для подключения (10050 или 10051)Адрес сервера - IP-адрес или доменное имя Zabbix-серверов. Обязательно нажмите "+" при добавлении адреса.

Правила доступа

В данном разделе описывается настройка служб, определяющих основные правила фильтрации трафика в Ideco UTM.

Файрвол

Принцип работыСоздание правил и групп правил

Создание группы правилСоздание правила сетевого фильтраПротоколПутьДействие

Примеры правил и техникРазрешить клиентам только нужные интернет-сервисы. Остальной трафик запретить.Написание правил с использованием доменных имён в пользовательском файрволеБлокировка https-трафикаПортмаппинг, DNAT, публикация сервера в локальной сетиБлокировка различных ресурсов средствами файрвола

Принцип работы

Одним из основных средств управления трафиком на сервере является файрвол (межсетевой экран). С его помощью можно по различным критериямограничивать трафик пользователей, проходящий через сервер из локальной сети во внешние, а также исходящий и входящий трафик на сам сервер.

Принцип работы брандмауэра заключается в анализе заголовков пакетов, проходящих через сервер. Эта низкоуровневая задача решается шлюзом наоснове стека протоколов TCP/IP. Поэтому брандмауэр хорошо подходит для определения глобальных правил управления трафиком по сетевым

1. 2. 3.

основе стека протоколов TCP/IP. Поэтому брандмауэр хорошо подходит для определения глобальных правил управления трафиком по сетевымпротоколам, портам, принадлежности к определенным IP-сетям и другим критериям, основанным на значениях полей в заголовках сетевых пакетов.

Сетевой экран не предназначен для решения задач, связанных с контролем доступа к ресурсам сети Интернет, исходя из адреса URL, доменного имениили ключевых слов, встречающихся на страницах ресурса. Эти задачи более высокого уровня, как правило, касающиеся web-трафика, нужно решать спомощью модуля контентной фильтрации в компоненте прокси-сервера.

Для обеспечения высокой эффективности процесса управления трафиком брандмауэр разделен на два глобальных контейнера правил:

Системный файрвол – содержит список глобальных правил, применяемых ко всей сетевой подсистеме шлюза. Весь трафик, проходящий черезшлюз, проверяется на соответствие этим правилам. Таким образом, правила, созданные в системном брандмауэре, распространяются как наслужебный трафик шлюза, так и на трафик, генерируемый самими клиентами сети.Пользовательский файрвол – содержит правила, касающиеся только трафика клиентских устройств в сети и не влияющие на глобальныеправила брандмауэра. Эти правила действуют только в том случае, если они зафиксированы во вкладке в настройках конкретного Ограниченияпользователя или группы пользователей.

Стоит отметить, что запрещающие правила пользовательского файрвола наиболее приоритетны, чем правила системного. Предположим, что у вас всистемном фильтре разрешена работа с ICQ (TCP порты 5190 и 4000). Вместе с тем в пользовательском брандмауэре существует правило, запрещающеесоединения с использованием этих портов. Таким образом, ICQ не будет работать у пользователя, которому назначено это правило. Аналогично и ссистемным файрволом - его запрещающие правила приоритетнее разрешающих правил пользовательского файрвола.

Сам процесс создания правил и групп правил для обоих брандмауэров одинаков. Все правила объединяются в группы. Обработка сетевых пакетов спомощью правил также работает одинаково: сверху вниз от первого правила в первой группе к последнему правилу в последней группе. Настройкаобоих файрволов доступна в разделе веб-интерфейса Правила.

Создание правил и групп правил

Создание группы правил

Для добавления группы правил необходимо выполнить следующие действия:

Нажмите на кнопку в конце списка существующих групп правил.Добавить группу правилВведите и описание, если требуется.Название группы правилНажмите .Сохранить

После того как группа создана, в неё можно добавлять правила межсетевого экрана.

Создание правила сетевого фильтра

Для того чтобы создать правила в группе, выделите её и нажмите на кнопку Добавить правило на панели инструментов. Далее необходимо ввестикритерии правила брандмауэра, представленные в таблице ниже.

Критерии правила брандмауэра

Источник

Адрес источника трафика, проходящего через шлюз. В этом поле может быть указан IP-адрес и маска сети, диапазон адрес илидомен.

SRC Port,портисточника

Порт источника. Имеет смысл только для TCP и UDP.

Назначение Адрес назначения трафика, проходящего через шлюз. В этом поле может быть указан IP-адрес и маска сети, диапазон адрес илидомен.

DST Port,портназначения

Порт назначения. Имеет смысл только для TCP и UDP.

Протокол Протокол передачи данных.

Путь Направление прохождения трафика. Различают входящий, исходящий, транзитный. Весь пользовательский трафик является.транзитным (FORWARD)

Действие Действие, выполняемое над трафиком после срабатывания правила.

Протокол

Брандмауэр определяет популярные сетевые протоколы путем чтения данных из заголовков пакета. При выборе протоколов TCP и UDP появляетсявозможность указания портов для источника и назначения. Порты можно выбрать из списка или ввести вручную. Допускается ввод нескольких портовчерез запятую. В этом случае порты будут проверяться по принципу "ИЛИ". Для указания любого порта оставьте 0. Перечень протоколов представлен втаблице ниже.

Сетевые протоколы

ICMP В основном ICMP используется для передачи сообщений об ошибках и других исключительных ситуациях, возникших при передаче данных.Также на ICMP возлагаются некоторые сервисные функции.

TCP Выполняет функции протокола транспортного уровня модели OSI.

UDP Является одним из самых простых протоколов транспортного уровня модели OSI. Его IP-идентификатор – 0x11. В отличие от TCP, UDP негарантирует доставку пакета, поэтому аббревиатуру иногда расшифровывают как Unreliable Datagram Protocol (протокол ненадёжныхдатаграмм). Это позволяет ему гораздо быстрее и эффективнее доставлять данные для приложений, которым требуется большая пропускнаяспособность линий связи или требуется малое время доставки данных.

GRE Основное назначение протокола – инкапсуляция пакетов сетевого уровня сетевой модели OSI в IP-пакеты. Номер протокола в IP – 47. Восновном используется при создании VPN (Virtual Private Network).

Путь

Критерий позволяет определить, какое направление прохождения трафиком будет проверяться. Для этого необходимо выбрать из списка одно из Путьследующих значений:

FORWARD – пакеты, проходящие через сервер. Это основной трафик пользователей.INPUT – входящие пакеты, предназначенные для самого сервера.OUTPUT – пакеты, исходящие от самого сервера.

Если вы хотите ограничить доступ к серверу, например, для блокировки серверов "спамеров", используйте пути и . Для ограниченияINPUT OUTPUTдоступа пользователя или нескольких пользователей к сайту используйте путь .FORWARD

Для более удобного ограничения нескольких пользователей одним правилом назначьте этим пользователям IP-адрес из отдельного пула. Тогда вкачестве IP-адресов источника или назначения можно будет указать подсеть, соответствующую этому пулу.

Действие

Значения этого параметра описаны в следующей таблице.

Значения Описание

Запретить Запрещает трафик. При этом ICMP-уведомлений осуществляться не будет.

Разрешить Разрешает трафик.

Portmapper(DNAT)

Транслирует адреса назначения, тем самым позволяет перенаправить входящий трафик. При выборе этого действия появятсяполя: "Переадресовать на адрес" и "Порт". Здесь необходимо указать адрес и, опционально, порт назначения на целевомустройстве. Порт имеет смысл указывать, если правило описывает протокол подключения TCP или UDP. С помощью этойвозможности можно прозрачно переадресовать входящий трафик на другой адрес или порт.

Для примера представим, что перед вами стоит задача предоставить доступ из сети Интернет к службе удаленного рабочего столаи web-серверу, которые находятся в локальной сети предприятия и не имеют публичного IP-адреса. Публичный IP-адрес, покоторому возможно осуществить подключение, назначен на внешний интерфейс Ideco UTM. Таким образом для решения этозадачи вам потребуется настроить файрвол так, чтобы он обеспечивал прозрачное перенаправление входящего трафика влокальную сеть к соответствующим службам. То же самое потребуется сделать в том случае, если вам потребуется перенаправитьвсе HTTP-запросы, идущие из локальной сети к внешним IP-адресам, на внутренний web-сервер.

SNAT Транслирует адреса источника. Аналогично действию "NAT" в профиле (переопределяет NAT в профиле).

Разрешить ивыйти изFirewall

Разрешает прохождение трафика и прекращает дальнейшую проверку. Таким образом те правила, которые находятся послеправила с данным действием не будут применены.

Запретить иразорватьподключение

Запрещает соединение, не устанавливать TCP-сессию.

Логировать Все пакеты, попадающее под данное правило, будут показаны в з а так жеМониторинг – Журнал – Логирование правил файрвола,аписываться в /var/log/firewall/custom_loging.log.

Не SNAT Отменяет действие "SNAT" (в файрвол выше по списку или в профиле) для трафика, удовлетворяющего критериям правила.

Не DNAT Отменяет действие "DNAT" (в файрвол выше по списку или в профиле) для трафика, удовлетворяющего критериям правила.

Разрешить безавторизации

Разрешает доступ к ресурсу без авторизации на сервере.

MASQUERADE Аналогично действию "SNAT". Применяется, когда адрес у интерфейса, на который делается переадресация, динамический. Необходимо указать имя интерфейса в соответствующей графе.

Примеры правил и техник

Разрешить клиентам только нужные интернет-сервисы. Остальной трафик запретить.

Технология используется для разрешения только заранее известных интернет-протоколов, которыми пользуются клиенты сети, и запрета всегоостального трафика. Она обеспечивает дополнительную защиту вашей локальной сети от нежелательного трафика и угроз извне. Также это одна изнаиболее действенных технологий в борьбе с торрентами и другим распределенным трафиком пиринговых файлообменных сетей. Принцип действиятехники заключается в создании группы правил, разрешающих подключение только на порты нужных для работы пользователей сервисов в сетиИнтернет. Самым последним создается правило, запрещающее весь трафик. В итоге, если трафик не удовлетворяет ни одному из предыдущихразрешающих правил, то пакеты этого трафика не допускаются к прохождению через шлюз. При этом шлюзом по умолчанию и DNS сервером дляклиентов в локальной сети должен быть сервер Ideco UTM. Пример группы правил представлен на следующем фрагменте.

Важно после написания правил перезагрузить файрвол, иначе правила не будут работать. Для этого в системном и в пользовательскомфайрволах есть кнопка .Перезагрузить файрвол на сервере

Где "10.200.1.0/24" – локальная сеть пользователей за шлюзом.

На этом рисунке показаны отдельные правила для отдельных протоколов сети Интернет. Это может быть удобно для легкого включения/выключенияправил. Но вы можете перечислить больше портов в одном правиле. Имейте ввиду, что максимальное количество портов, которое брандмауэрраспознает в пределах одного правила, равняется 15.

Написание правил с использованием доменных имён в пользовательском файрволе

Иногда необходимо заблокировать всевозможный трафик до конкретного домена. Если домен имеет несколько IP-адресов, то удобно написать всегоодно правило с использованием доменного имени. Давайте для примера возьмём домен и напишем правила для его блокировки. Если блокировка66.ruдолжна распространяться на всех пользователей, то пишем правило в системном файрволе без указания адреса источника. Если блокировать будемтолько для части пользователей, то пишем правило в . Для этого сначала создадим группу правил в пользовательскомпользовательском файрволефайрволе и назовём её, например, :66.ru

Далее при создании правила в поле выберем вариант и пропишем туда 66.ru, после создания правила перезагрузим файрвол:Назначение Домен

Для корректной работы с сетью Интернет необходим сервис DNS (53 UDP порт) и протокол ICMP. Их нужно обязательноразрешить.Эта техника не гарантирует однозначной блокировки торрентов и прочих файлообменных сетей, так как зачастую эти сети работаютчерез порты известных служб (80 HTTP) в зашифрованном виде. Также для блокировки активности торрент-программ иp2p-клиентов рекомендуется использовать .систему предотвращения вторженийВ данном примере правила написаны в с указанием конкретной сети источника. Если же мы очистим это поле,системном файрволето правила лучше писать в пользовательском файрволе и применять на отдельных пользователей или групп пользователей.

http://66.ru

http://66.ru

Потом переходим на целевого пользователя или группу пользователей в разделе Пользователи -> Ограничения -> Ограничения пользовательского, нажимаем кнопку и выбираем созданную ранее группу:файрвола Добавить группы правил

Нажимаем и получаем такой результат: Сохранить

Спустя несколько минут правило начнёт работать и у всех пользователей группы "Все" будет заблокирован доступ к 66.ru по всем возможнымпротоколам.

Блокировка https-трафика

Немного расширим предыдущий пример: предположим, что мы хотим в нашей сети полностью заблокировать хождение https-трафика (практическилюбая веб-почта, социальные сети и сервисы google), поэтому пишем вот такое правило в :системном файрволе

1. 2.

3.

4.

Есть несколько моментов, на которых хотелось бы заострить внимание:

В поле указывается доменное имя, а не url, то есть писать нельзя, надо указывать . Домен https://66.ru/ 66.ruМы рекомендуем блокировать веб-трафик через , для обработки SSL трафика по 443 порту требуется включить контент-фильтр HTT

.PS фильтрациюПользовательский файрвол обрабатывается после системного, поэтому не надо писать противоречащих правил в системномфайрволе.Если домену сопоставлено много IP-адресов, то файрвол не сможет заблокировать все из них (т.к. по DNS-запросу выдаются толькотри случайных адреса). В таком случае нужно перехват DNS-запросов на Ideco UTM, чтобы данные IP у пользователя и внастроитьправилах файрвола совпадали.

https://66.ru/

https://66.ru/

Портмаппинг, DNAT, публикация сервера в локальной сети

Этот пример подробно описан в соответствующей в разделе .статье Публикация ресурсов

Блокировка различных ресурсов средствами файрвола

Вопросы блокировки различных ресурсов: программ удаленного управления (AmmyAdmin и TeamViewer), месенджеров и другого ПО описаны вотдельной .статье

Контроль приложений

Данный модуль осуществляет глубокий анализ трафика (Deep Packet Inspection - DPI) для выявления протоколов популярных приложений (layer-7фильтрация).

В связи с частыми обновлениями ПО модуль не всегда может верно определить трафик нужного приложения, такое поведение будет исправлено вследующих версиях Ideco UTM.

Статус модуля показывается в левом верхнем углу окна настроек.

Принцип действия набора правил контроля приложений аналогичен правилам межсетевого экрана:

Приоритет правила выше, чем выше расположено правило в списке.Просмотр правил осуществляется до первого срабатывания правила.

Приоритет правила можно изменять, нажимая кнопки со стрелками в колонке "Действия".

Создание правила

При создании нового правила укажите следующие параметры:

Название - название правила, для удобства администрирования.

Применяется для - пользователь, группа пользователей, профиль. Правило будет применено для всех пользователей, соответствующих данной метке.

Протоколы - протоколы 7-го уровня (приложения).

Доступ - разрешить или запретить данный протокол.

Для применения настроек модуля нажмите кнопку "Применить изменения", чтобы они вступили в силу.

Контроль приложений работает только в редакции Enterprise у пользователей с активной подпиской на обновления и техническуюподдержку, а также в редакции с приобретённым модулем.Ideco SMB

Список совместимых сетевых адаптеров, с которыми точно работает данный модуль, находится в .системных требованиях

https://smb.ideco.ru

Контент-фильтр

Контентная фильтрация на нашем сервере реализована на основе данных о веб-трафике, получаемых от модуля веб-трафика. Такимпроксированияобразом контент-фильтр позволяет эффективно блокировать доступ к различным интернет-ресурсам по веб. Механизм контентной фильтрациизаключается в проверке принадлежности адреса, запрашиваемого пользователем сайта или отдельной страницы сайта на наличие его в спискахзапрещенных ресурсов. Списки, в свою очередь, поделены на категории для удобства администрирования.

Модуль контент-фильтра работает только при активной подписке на обновления в редакции Enterprise или в случае покупки модуля для редакции SMB.

Настройка контент-фильтра

Рассмотрим подробнее устройство и настройку контент-фильтра. Перейдем в раздел административного веб-интерфейса Правила доступа ->Контент-фильтр -> Настройки и активируем базу расширенного контент-фильтра установив флажок "Использовать расширенную базу категорий".

На этой же вкладке можно настроить дополнительные параметры фильтрации:

Блокировать протокол . Экспериментальный протокол, используемый браузером Chrome для доступа к некоторым ресурсам (например,QUICyoutube). Рекомендуется блокировать его, т.к. иначе фильтрация ресурсов, работающих по этому протоколу, будет невозможна.Безопасный поиск. Принудительно включает безопасный поиск в поисковых системах. Для работы данной функции нужно включить HTTPS-ф

методом подмены сертификата для данных ресурсов.ильтрацию

Пользовательские категории

На одноименной вкладке вы можете создавать собственные категории правил для разрешения, запрещения для пользователей или расшифровкиHTTPS-трафика данных доменов.

Созданные категории правил можно наполнять URL веб-страниц вручную.

https://ru.wikipedia.org/wiki/QUIC

1.

2.

Созданные категории правил можно наполнять URL веб-страниц вручную.

Применение правил фильтрации для пользователей

Для того чтобы доступ пользователя к ресурсам сети интернет контролировался по настроенным категориям, нужно создать список правил.

Правила в списке применяются сверху вниз до первого срабатывания. Таким образом если вышестоящим правилом будет разрешен какой-то ресурс дляопределенной группы пользователей, то правила ниже применяться не будут. Таким образом можно создавать гибкие настройки фильтрации, исключаянужных пользователей вышестоящими правилами из правил блокировки. Аналогичным образом действуют правила расшифровки HTTPS.

Кнопками со стрелками можно менять приоритет правила в списке, а кнопкой включения/выключения активировать или деактивировать правило.Правила контентной фильтрации применяются сразу же после создания или их включения.

При добавлении правила заполните следующие поля:

- наименование правила в списке.Название

- пользователи или группы пользователей, к которым будет применяться правило. Возможно выбрать несколько пользователей или групп.Пользователи

- пользовательские, специальные и расширенные категории веб-ресурсов.Категории сайтов

- действие данного правила на веб-запросы. Можно запретить, разрешить или расшифровать HTTPS-трафик.Трафик

Настройка фильтрации HTTPS

Настройка сервера Ideco UTMНастройка рабочей станции пользователяДобавление сертификата через политики домена Microsoft Active DirectoryВозможные проблемы и методы их решения

Фильтрация HTTPS-трафика обеспечивает возможность последующей обработки сайтов, доступных по HTTPS. Фильтрация реализуется несколькими методами:

Анализом заголовков Server Name Indication (SNI) - благодаря этому методу возможен анализ домена, на который подключается клиент, безподмены сертификата и вмешательства в HTTPS-трафик. Также анализируются домены указанные в сертификате.Методом SSL-bump. Путём подмены на лету сертификата, которым подписан запрашиваемый сайт. Оригинальный сертификат сайта« »подменяется новым, подписанным не центром сертификации, а корневым сертификатом Ideco UTM. Таким образом, передающийся позащищённому HTTPS-соединению трафик становится доступным для обработки всеми модулями, предоставляемыми Ideco UTM:контент-фильтром (возможно категоризировать полный URL запроса), антивирусами Касперского и ClamAV, а также внешнимICAP-сервисам. Специфика реализации фильтрации HTTPS-трафика с подменой сертификата требует настройки обеих сторон подключения: сервера IdecoUTM и рабочей станции каждого пользователя в локальной сети.

Настройка сервера Ideco UTM

По-умолчанию сервер осуществляет фильтрацию HTTPS без подмены сертификатов с помощью анализа SNI и доменов в сертификате.

Настройка дешифрации HTTPS-трафика осуществляется в разделе «Правила Контент-фильтр" создаваемых администратором правил с ➔ с помощьюдействием "Расшифровать".

Можно расшифровывать трафик только для выбранных категорий ресурсов и для определенных пользователей, либо для всех запросов и всехпользователей.

Настройка рабочей станции пользователя

При включенной опции расшифровки HTTPS-трафика браузер и другое сетевое ПО (например, антивирусы, клиенты IM и пр.) на рабочей станциипользователя потребует явного подтверждения на использование подменного сертификата, созданного и выданного сервером Ideco UTM. Дляповышения удобства работы пользователя следует установить в операционную систему рабочей станции корневой сертификат сервера Ideco UTM исделать его доверенным. Корневой SSL-сертификат доступен для скачивания со страницы логина в панели управления сервером.

Чтобы установить корневой сертификат на рабочей станции пользователя, требуется выполнить следующие действия:

Скачать корневой SSL-сертификат, открыв страницу логина в web-интерфейс панели управления сервера Ideco UTM:

Открыть на рабочей станции центр управления сертификатами: , выполнив в диалоге команду Пуск ➔ Выполнить« » :certmgr.msc

2.

3.

4.

1.

2. 3. 4.

5.

6.

В центре управления сертификатами выбрать раздел Доверенные корневые сертификаты ➔ Сертификаты :« »

В правой части окна нажать правую кнопку мыши и выбрать действие . Все задачи ➔ Импорт...« »Откроется окно мастера импорта сертификатов. Следуя инструкциям мастера импортировать корневой сертификат сервера Ideco UTM.Импортированный сертификат появится в списке в правой части окна

Добавление сертификата через политики домена Microsoft Active Directory

В сетях, где управление пользователями осуществляется с помощью Microsoft Active Directory, вы можете установить сертификат Ideco UTM для всехпользователей автоматически с помощью Active Directory.

Скачайте корневой SSL-сертификат, открыв страницу логина в web-интерфейс панели управления сервера Ideco UTM:

Зайдите на контроллер домена с помощью аккаунта, имеющего права администратора домена.Запустите оснастку управления групповой политикой, выполнив команду .gpmc.mscНайдите , использующуюся на компьютерах пользователей в (на скриншоте - Default Domainполитику домена Объектах групповой политики« »Policy).Нажмите на неё правой кнопкой мышки и выберите .«Изменить»В открывшемся редакторе управления групповыми политиками выберите:Конфигурация компьютера ➔ Политики ➔ Конфигурация Windows ➔ Параметры безопасности ➔ Политики открытого ключа ➔ Доверенные«

корневые центры сертификации .»Нажмите правой кнопкой мыши по открывшемуся списку, выберите Импорт... и импортируйте ключ Ideco UTM.« »

6.

7. После перезагрузки рабочих станций или выполнения на них команды сертификат появится в локальных хранилищахgpupdate /forceсертификатов и будет установлен нужный уровень доверия к нему.

Возможные проблемы и методы их решения

Некоторые браузеры, например Mozilla Firefox, могут не использовать системное хранилище сертификатов. В таком случае нужно добавитьсертификат Ideco UTM в доверенные сертификаты таких браузеров.В Firefox также можно включить параметр (в about:config) в значение true, для доверияsecurity.enterprise_roots.enabledсистемным сертификатам.Если на локальной машине используется антивирус, проверяющий HTTPS-трафик методом подмены сертификатов, сайты могут неоткрываться из-за двойной подмены сертификатов. Нужно отключить в антивирусе проверку HTTPS-трафика.При включенной SNI-фильтрации сервер не будет пропускать по HTTPS-порту не HTTPS-трафик. Таким образом могут возникнуть проблемыс программами, пытающимися это сделать. Для их работы необходимо разрешить к нужным им ресурсам.обход прокси-сервераДля отображения страницы блокировки при блокировке HTTPS-ресурсов необходимо настроить доверие корневому SSL-сертификату UTMдаже если включена только SNI-фильтрация, т.к в случае срабатывания блокировки ресурса, открываемого по HTTPS, будет примененSSL-bumping с подстановкой SSL-сертификата UTM для возможности подмены контента ресурса страницей о его блокировке сервером.

Описание категорий контент-фильтра

Специальные категории

Все запросы - под данную категорию попадают все запросы к веб-ресурсам.

Все категоризованные запросы - под данную категорию попадают все запросы к веб-ресурсам, категоризованные по встроенным или пользовательскимкатегориям.

Все некатегоризованные запросы - под данную категорию попадают все запросы к веб-ресурсам, которые не были категоризованы по встроенным илипользовательским категориям.

Прямое обращение по IP - запросы к веб-ресурсам по IP-адресу (https://1.2.3,4).

https://1.2.3,4).

Расширенные категории

1 Скомпрометированные Web-сайты, которые были скомпрометированы злоумышленниками и выглядят как официальные web-сайты, но на самомделе содержат вредоносный код.

3 Экстремизм Web-сайты, призывающие к экстремизму, дискриминации по половому, расовому, религиозному и другим признакам.

4 Наркотики Web-сайты, призывающие к употреблению наркотических веществ, включая неправильное употребление лекарственных препаратов.

5 Фишинг/мошенничество Web-сайты, используемые для мошенничества, также известны как фишинговые. Как правило, представляютсяофициальными web-страницами финансовых или иных учреждений с целью несанкционированного доступа к конфиденциальной информации,например, пин-кодам банковских карт.

6 Эротика Web-сайты, содержащие материалы эротического характера (частичное или полное обнажение), исключая порнографические материалы.

7 Насилие Web-сайты, содержащие призывы к сомнительным действиям, таким как насилие и агрессия.

8 Оружие Web-сайты, посвященные оружию как таковому. Не содержат призывов к его незаконному использованию.

9 Анонимайзеры Web-сайты, предназначенные для обхода сетевых фильтров. Такие ресурсы могут быть использованы сотрудниками компании сцелью посещения запрещенных web-сайтов.

10 Переводчики Словари и переводчики с иностранных языков.

11 Алкоголь Web-сайты, призывающие к употреблению алкоголя (или оправдывающие его употребление), а также сайты, осуществляющие продажуалкогольной продукции, включая пиво, вина и т.д.

12 Фармацевтика Web-сайты, содержащие информацию о лекарственных препаратах (включая легальные наркотические вещества), а также ихприменении.

13 Табак Web-сайты, призывающие к употреблению табачной продукции (сигареты, сигары, трубки и т.д.).

14 Азартные игры Web-сайты, призывающие к участию в азартных играх (лоттереи, казино, тотализаторы и т.д.).

15 Игры Web-сайты, посвященные компьютерным играм, а также сайты с онлайн-играми.

16 Знакомства Web-сайты, посвященные знакомствам, браку и т.д.

17 Путешествия Web-сайты, предоставляющие информацию о путешествиях и туризме, а также онлайн-заказ авиабилетов, гостиниц, автомобилей ит.д.

18 Вооруженные силы Web-сайты, спонсируемые вооруженными силами и иными государственными военными учреждениями.

19 Юмор Web-сайты, содержащие информацию юмористического характера, такую как комиксы, шутки, смешные картинки.

20 Музыка Web-сайты, посвященные музыке. Интернет-радио, файлы в формате mp3, информация о музыкальных группах, клипы и т.д.

21 Новости Новостные web-ресурсы. Онлайн-издания газет, журналов, новостные ленты.

22 Социальные сети Сайты социальных сетей — сообществ, в которых люди «дружат» между собой.

23 Web-почта Службы, предоставляющие пользователям web-доступ к почтовым ящикам. Как правило, речь идет о бесплатных ящиках.

24 Порталы Web-ресурсы, предоставляющие доступ к настраиваемым персональным порталам, включая "желтые страницы" и другие каталоги.

25 Поисковые системы Поисковые системы, осуществляющие поиск по web-сайтам, новостным группам, картинкам и другому контенту.

26 Онлайн-реклама и баннеры Веб-страницы, строго посвященные рекламе, баннерам или выскакивающим окнам с рекламой.

27 Поиск работы Web-сайты, посвященные поиску работы, включая рекрутинговые агентства.

28 Недвижимость Web-сайты, посвященные вопросам, связанным с недвижимостью (приобретение, продажа, аренда и т.д.).

29 Спам Web-сайты, рекламируемые с помощью спама.

30 Разное Web-сайты, которые не могут быть однозначно отнесены ни к одной из категорий.

31 "Запаркованные" Web-сайты, которые используются в качестве «заглушек» для приобретенных, но не используемых доменных имен.

32 Аборты Web-страницы, на которых обсуждаются аборты с медицинской, юридической, исторической и других точек зрения.

33 Аборты — одобрение Web-сайты, одобряющие применение абортов.

34 Аборты — осуждение Web-сайты, осуждающие применение абортов.

35 Сельское хозяйство Web-сайты, посвященные науке, искусству и бизнесу, связанному с сельским хозяйством (производство зерновых культур,подъем домашнего скота, продуктов, услуг и т.д.).

36 Архитектура Web-сайты, посвященные строительству, проектированию зданий и сооружений, архитектуре, а также организациям или услугам,

связанным с дизайном, строительством и строительным проектированием.

связанным с дизайном, строительством и строительным проектированием.

37 Изобразительное искусство Web-сайты, посвященные изобразительному искусству.

38 Астрология и гороскопы Web-сайты об астрологии, гороскопах, а также предсказаниях по звездам или знаку зодиака.

39 Атеизм и агностицизм Web-сайты, ведущие антирелигиозную пропаганду или подвергающие сомнению религиозные, духовные, метафизические,или сверхъестественные воззрения.

40 Аукционы и рынки Web-сайты, посвященные продажам товаров и услуг через объявления, онлайн-аукционы или через другие нетрадиционныеканалы.

41 Банки Web-сайты банков и иных кредитных учреждений, включая сайты интернет-банков. В эту категорию не входят сайты организаций,предлагающих брокерские услуги.

42 Биотехнологии Web-сайты, посвященные исследованиям в области генетики, а также сайты исследовательских институтов и организаций,работающих в сфере биотехнологий.

43 Ботнеты Web-сайты или скомпрометированные web-ресуры, на которых запущено программное обеспечение, используемое хакерами длярассылок спама и осуществления различных интернет-атак.

44 Бизнес и услуги (общая) Web-сайты о бизнесе и услугах. В эту категорию включены ресурсы, которые не подлежат более точномукатегорированию, чем бизнес и услуги.

45 Мультфильмы, аниме и комиксы Web-сайты, на которых размещены мультипликационные тв-шоу, фильмы, комиксы

46 Каталоги Web-сайты с продуктовыми списками и каталогами без возможности совершить онлайн-покупку.

47 Чаты Онлайн-чаты.

48 Изображения жестокого обращения с детьми Web-сайты с изображениями физического или сексуального насилия над детьми.

49 Центры управления и контроля Интернет-серверы использующиеся для управления ботнетами.

50 Контент-сервисы Web-сайты, не содержащие навигационных элементов, которые обычно используются для размещения изображений или другогомедиа-контента в целях повышения производительности и масштабируемости.

51 Конкурсы и опросы Web-сайты, посвященные онлайн-тотализаторам, соревнованиям, распродажам и лотереям, которые создаются для изученияпотребительских предпочтений, а также могут использоваться в качестве элемента различной маркетинговой деятельности.

52 Купоны Web-сайты, предлагающие приобретение скидочных купонов (купонаторы).

53 Криминальные навыки Web-сайты, предоставляющие информацию о том, как совершить незаконную деятельность, такую как кража, убийство,создание бомбы, вскрытие замка, и т.д.

54 Учебные заведения Web-сайты школ, университетов и иных образовательных учреждений.

55 Учебные материалы и исследования Web-сайты, на которых размещены академические публикации, журналы, результаты исследований, учебныепланы, а также онлайн-курсы, учебники и т.д.

56 Развлекательные новости и сайты про знаменитостей Web-сайты, посвященные новостям и сплетням о знаменитостях, телешоу, фильмах ишоу-бизнесе в целом.

57 Развлекательные места и события Web-сайты, посвященные культурным заведениям, таким как театры, кинотеатры, ночные клубы, фестивали ит.д.

58 Мода и красота Web-сайты, посвященные моде и красоте, включая сайты, связанные с модой и содержащие информацию об одежде, ювелирныхукрашениях, косметике и парфюму.

59 Файловые хранилища Web-сайты с каталогами программного обеспечения, включая условно-бесплатное, бесплатное исвободно-распространяемое программное обеспечение.

60 Финес и Отдых Web-сайты, посвященные фитнесу и другим оздоровительным активностям.

61 Геи, лесбиянки и бисексуалы Web-сайты, на которых обсуждаются вопросы, связанные с нетрадиционной половой ориентацией.

62 Финансы (в целом) Web-сайты, на страницах которых обсуждаются экономические вопросы, инвестиционные стратегии, пенсионное и налоговоепланирование.

63 Технологии (в целом) Web-сайты, посвященные web-дизайну, стандартизации в интернете (например, RFC), спецификациям протоколов,новостям и другим широким обсуждениям технологий.

64 Спонсируемые государством Web-сайты, посвященные государственным организациям, включая полицию, пожарные службы, избирательныекомиссии, спонсируемые государством исследования и программы.

65 Природа и ее сохранение Web-сайты с информацией об окружающей среде, экологии и т.д.

66 Взлом Web-сайты, содержащие информацию или утилиты, которые могут быть использованы для совершения онлайн-преступлений.

67 Здравоохранение и медицина Web-сайты, посвященные личному здоровью, медицинским услугам, медицинскому оборудованию, процедурам,

67 Здравоохранение и медицина Web-сайты, посвященные личному здоровью, медицинским услугам, медицинскому оборудованию, процедурам,психическому здоровью, больницам и клиникам.

68 Хобби и Досуг Web-сайты, содержащие информацию о различных ремеслах и хобби, таких как вышивание, коллекционирование,авиамоделирование и т.д.

69 Дом, сад и семья Web-сайты, которые раскрывают вопросы о семейных отношениях и обустройству дома, включая информацию о воспитании,внутреннем украшении, озеленении, уборке, семье и т.д.

70 Мебель для дома и офиса Web-сайты, которые включают информацию о производителях мебели, розничных магазинах по продаже мебели,столов, стульев, кабинетов, и т.д.

71 Сообщества лоббистов и торговые ассоциации Web-сайты, посвященные промышленным торговым группам, лоббистам, союзам,профессиональным организациям и другим ассоциациям, включая сообщества единомышленников.

72 Информационная безопасность Web-сайты организаций, предоставляющих услуги в сфере информационной безопасности.

73 Мгновенные сообщения Web-сайты служб мгновенных сообщений, а также сайтов, призывающих поддерживать контакты с друзьями черезсервисы обмена сообщениями.

74 Страхование Web-сайты, посвященные всем типам страхования, включая медицинское, государственное, страхование имущества и т.д.

75 Интернет и IP-телефония Web-сайты, позволяющие совершать звонки через web или сайты программных продуктов, которые предназначены длясовершения звонков через сеть Интернет.

100 Сайты для детей Сайты, предназначенные для маленьких детей (до 10 лет), включая игры и развлекательные страницы.

101 Откровенные изображения Сайты с фотографиями и видеороликами, на которых изображены девушки в сексуальной провокационной одежде,например, в дамском белье.

102 Литература и книги Сайты, на которых представлена литература, включая включая беллетристику и документальные романы, стихи ибиографии.

103 Системы централизованной аутентификации Сайты, которые используются для единой аутентификации и получения доступа к большомуразнообразию услуг. Например, такие системы как Yahoo или Google.

104 Тайный сбор информации Сайты, идентифицированные как шпионские, пересылающие информацию о посетителе по специальному адресу.

105 Центры распространения вредоносного ПО Сайты, на которых размещены вирусы, эксплоиты и другое вредоносное ПО.

106 Производство Сайты, посвященные бизнесу, связанному с промышленным производством.

107 Марихуана Сайты, на которых представлена информация о марихуане, ее выращивании или курении, включая сайты, посвященные легальномуиспользованию марихуаны, например, в медицине.

108 Мобильные телефоны Сайты производителей мобильных телефонов, включая сайты, осуществляющие продажу мобильных телефонов иаксессуаров к ним.

109 Нераспознаваемый контент Сайты, с нераспознаваемым контентом, что не позволяет их категорировать.

110 Нетрадиционные религии и оккультные верования Сайты, посвященные религиям, не находящимся в мейнстриме или не входящих в ТОП10мировых религий (народные религии, мистика, культы и секты).

111 Питание и диеты Сайты с информацией о здоровом питании, похудении, диетах, программах похудения и пищевой аллергии.

112 Финансовые инструменты и котировки онлайн Сайты, содержащие информацию о финансовых котировках, а также инструменты финансовогоанализа и бюджетного планирования, такие как ипотечные калькуляторы, программное обеспечение для формирования налоговой отчетности и т.д.

113 Онлайн-упраление информацией Сайты, посвященные программам для управления личной информацией, например, приложения дляуправления со списками задач, календарями, адресные книги и т.д.

114 Интернет-магазины Интернет-магазины и иные сайты, предлагающие совершить онлайн-покупки.

115 Оналйн-торговля акциями Сайты брокерских компаний, осуществляющих онлайн-торговлю ценными бумагами и т.д.

116 Парки, зоны отдыха и спортивные залы Сайты, посвященные паркам и иным зонам, предназначенным для оздоровительных активностей, такихкак плавание, скейтбординг, альпинизм и т.д.

117 Оплата за серфинг Сайты компаний, предлагающих оплату за просмотр рекламы в их специализированных приложениях.

118 Пиринговые сети Сайты пиринговых сетей.

119 Файлообменники. Сайты файлообменников.

120 Домашние животные Сайты, содержащие информацию, продукты и услуги для домашних животных.

121 Благотовориртельные учреждения Сайты с информацией о благотворительных учреждениях и других некоммерческих филантропическихорганизациях.

122 Облачные хранилища фотографий Сайты, на которых пользователи могут разместить цифровые фотографии, а также осуществлять поиск

122 Облачные хранилища фотографий Сайты, на которых пользователи могут разместить цифровые фотографии, а также осуществлять поискизображений, обмениваться ими и т.д.

123 Пиратство и хищение авторских прав Сайты, предоставляющие доступ к незаконному контенту, например, пиратскому программномуобеспечению (warez), пиратским фильмам, музыке и т.д.

124 Порнография Сайты, содержащие изображения или видео с откровенной демонстрацией полового акта или обнаженного тела.

125 Безопасность Сайты, относящиеся к продуктам и услугам, касающимся безопасности, за исключением компьютерной.

126 Частные IP-адреса Сайты, обслуживаемые на частных IP-адресах, зарезервированных для использования внутри организаций и дома.

127 Обзоры продукции и Сравнение цен Сайты, призванные помочь покупателям сравнить магазины, продукты и цены, но не торгующие онлайн.

128 Богохульства Сайты, содержащие эпизодические или серьезные богохульства.

129 Профессиональные сообщества Сайты социальных сетей, ориентированных на профессионалов и выстраивание деловых отношений.

130 Только для взрослых (18+) Сайты, в содержании которых обязательно содержится материал, предназначенный только для взрослой аудитории.Там может быть затронута сексуальная тематика или неучебные материалы

131 Переадресация Сайты, перенаправляющие посетителя на другие ресурсы.

132 Справочные материалы и карты Сайты, содержащие справочные материалы и наборы данных: атласы, словари, энциклопедии, переписи и т. п.

133 Религии Сайты об основных мировых религиях, а также общерелигиозной тематики и теологические

134 Дома престарелых и уход за больными Сайты о домах престарелых и тематические сообщества, включая уход за больными и хосписную помощь.

135 Готовые домашние задания Сайты с ответами к тестам, готовыми сочинениями, пошаговыми решениями задач и аналогичные ресурсы, которыемогут использоваться для списывания.

136 Самопомощь и зависимости Сайты, предлагающие информацию и помощь при алкогольной, наркотической, игровой зависимостях, а такжерасстройствах пищевого поведения (анорексия и пр.)

137 Секс и Эротика Сайты, предлагающие продукты и услуги, связанные с сексом, но не содержащие обнаженной натуры и других откровенныхизображений.

138 Сексуальное воспитание и образование Сайты с обучающими материалами и клиническими пояснениями о сексе, безопасном сексе,беременности, родам и т. п., ориентированные на детей и подростков.

139 Доставка и логистика Сайты об управлении запасами, включая транспортировку, склад, дистрибуцию, хранение, выполнение и доставку заказов.

140 Социальные сообщества Социальные сети, а также web-сайты различных онлайн-сообществ.

141 Оборудование, ПО, электроника Сайт о компьютерном оборудовании, ПО, периферии, сетях данных, электронике, а также ресурсыпроизводителей соответствующих товаров и услуг.

142 Спотривная охота Сайты о любительской охоте на живых животных.

143 Спорт Сайты о соревновательных видах спорта, где люди или команды состязаются в атлетических (например, футбол) и прочих (бильярд)дисциплинах.

144 Шпионское и сомнительное ПО Сайты с ПО, пересылающим информацию на центральный сервер, включая шпионское ПО и клавиатурныешпионы.

145 Аудио для прослушивания и скачивания Сайты-хранилища, вещающие музыку или другой аудиоконтент (может потребить всю доступнуюширину канала компании).

146 Видео для прослушивания и скачивания Сайты-хранилища, вещающие видео, в том числе, в браузере (может потребить всю доступную ширинуканала компании).

147 Пищевые добавки и витамины Сайты, содержащие сведения о витаминах и других веществах нерегулируемого оборота.

148 Купальные костюмы Сайты, содержащие изображения людей в купальных костюмах. Изображения собственно костюмов не попадают в этукатегорию.

149 Не для детского просмотра Материалы, неуместные для детей: безвкусные, жестокие (в том числе, по отношению к животным), туалетный юмори т. п.

150 Телевидение и фильмы Сайты о телешоу и фильмах, включая обзоры, программы передач, сюжеты, обсуждения, трейлеры, маркетинг и т. п.

151 Торрент-трекеры Сайты, размещающие торрент-файлы, позволяющие загрузить потенциально большие файлы по P2P-сетям.

152 Игрушки Сайты производителей игрушек, а также маркетинговые ресурсы и онлайн-магазины игрушек.

153 Несоединяемые Сайты, обращение к которым приводит к ошибкам «время соединения истекло», «адрес не найден» и т. п.

154 Веб-хостинг, интернет-провайдеры и телекоммунникационные компании Сайты, предлагающие услуги веб-хостинга, блог-хостинга,

интернет-провайдеры и телекоммуникационные компании.

интернет-провайдеры и телекоммуникационные компании.

155 Виртуальные открытки Сайты, позволяющие пользователям отправлять и принимать открытки.

156 Онлайн-офисы Сайты и ресурсы сообществ, создающих информационные документы, доступные на редактирование всем участникам.

157 Поисковики изображений Сайты и поисковые машины, используемые для поиска изображений и возвращающие результаты, содержащиеминиатюры последних.

158 Форумы Сайты форумов, новостных групп, архивы списков рассылки, доски объявлений и аналогичные ресурсы сообществ.

159 Удаленный доступ Сайты, предоставляющие удаленный доступ к частным компьютерам и сетям, ресурсам интранет (файлам ивеб-приложениям).

160 Маркетинговые услуги Сайты рекламных и маркетинговых агентств, кроме баннерных сетей.

161 Транспортные средства Сайты о транспортных средствах, включая продажу, продвижение, обсуждение, ресурсы производителей ионлайн-магазины.

162 Еда и рестораны Сайты о еде: от ресторанов и кафе до рецептов и советов по готовке.

163 Законодательство и политика Сайты о законодательстве, политике, партиях, выборах, их результатах и мнениях.

164 Персональные страницы и блоги Персональные страницы, включая блоги и другие средства обмена новостями, мнениями и информацией обавторе, а также домашние и семейные страницы.

165 Спортивные соревнования Сайты, посвященные тренировкам и соревнованиям по боевым искусствам: бокс, борьба, фехтование и т. п.

166 Текстовые сообщения Сайты, предназначенные для обмена короткими текстовыми сообщениями (SMS) между веб-страницей и мобильнымтелефоном.

Ограничение скорости

Служба предназначена для ограничения скорости внешнего входящего Интернет-трафика для пользователей сети. Возможности по ограничениюисходящего трафика, а также трафика с определенных ресурсов, будут добавлены в следующих версиях.

Настройка ограничения скорости

Для удобства настройки существует два типа ограничения скорости. Они могут быть применены как для отдельных пользователей, так и для одной илинескольких групп пользователей:

Персональное - данным правилом скорость будет ограничена для каждого из выбранных пользователей.Общее - скорость ограничится и поделится между всеми выбранными пользователями.

Например, следующее правило, примененное к группе "Отдел продаж" приведет к тому, что лимит скорости каждого менеджера будет равен 1 Мбит/с

В следующем примере, для всего отдела "Бухгалтерия" будет установлен лимит скорости 10 Мбит/с. Таким образом все бухгалтера (например 10компьютеров) не смогут одновременно скачивать файлы со скоростью более 10 Мбит/с.

Порядок применения правил

Правила в списке ограничения скорости будут применяться до первого сработавшего.

Например, если пользователь "Иван Петров" одновременно находится в группе "Все" и "Бухгалтерия", то скорость для него будет ограничена 5 Мбит/с.

При добавлении или редактировании правила, для его сохранения и применения нажмите кнопку "Применить", находящуюся сверху над спискомправил. Настройки будут применены.

Предотвращение вторжений

Система обнаружения и предотвращения вторженийЖурналПравилаИсключенияПример анализа логов

Пример 1

Пример 2Технические требования

Система обнаружения и предотвращения вторжений

Система предотвращения вторжений (IDS/IPS, Intrusion detection system / Intrusion prevention system) предназначена для обнаружения, журналированияи предотвращения атак злоумышленников на сервер, интегрированные службы (почта, веб-сайт и др.) и защищаемую интернет-шлюзом локальную сеть.

Правила блокировки трафика включают в себя блокирование активности троянских программ, spyware, бот-сетей, клиентов p2p и -трекеров,торрентвирусов, сети (используемой для обхода правил фильтрации), анонимайзеров и многое другое.TOR

Настроить службу можно на вкладке :Правила - Предотвращение вторжений

Установив или сняв галочку " " можно соответственно включить/выключить службу предотвращения вторжений.Включить IDS/IPS

В поле " " добавьте локальные сети, обслуживаемые UTM. Как правило, это сети локальных интерфейсов UTM, а такжеСписок локальных подсетеймогут быть маршрутизируемые на них сети удаленных сегментов локальной сети вашего предприятия. Ни в коем случае не указывайте сети,

Указанные здесь сети участвуют в правилах службы предотвращенияпринадлежащие внешним сетевым интерфейсам UTM и внешним сетям.вторжения как локальные, характеризуя трафик в/из локальных сетей. Локальный межсегментный трафик не исключается из проверок системы.

Опция " " позволяет выбрать время хранения логов системы: 1, 2 или 3 месяца.Хранить записи журнала

При использовании системы предотвращения вторжений не рекомендуется использовать внутренние DNS-серверы для компьютеров сети, т.к. системаанализирует проходящие через нее DNS-запросы и определяет по ним зараженные устройства. В случае использования внутреннего домена AD,рекомендуется на компьютерах указывать DNS-сервер Ideco UTM в качестве единственного DNS-сервера, а в настройках на UTM указатьDNS-сервераForward-зону для локального домена.

Журнал

В журнале можно просмотреть последние 100 строк логов предупреждений системы предотвращения вторжений.

Система предотвращения вторжений доступна только в активированной Enterprise версии Ideco UTM для пользователей с активной подписко на обновления.й

https://ideco.ru/buy/ics#subscribe


Полные логи системы находятся на сервере в каталоге: /var/log/suricata

drop.log - информация об отклоненных пакетах.

fast.log - логи предупреждений.

suricata.log - логи работы службы.

В логах предупреждений указывается группа (Classification), к которой принадлежит сработавшее правило, ID правила и дополнительная информация.

Правила

На вкладке доступны для просмотра и включения/отключения группы правил системы предотвращения вторжений.Правила

При включении/отключении группы правил настройки применяются мгновенно, без необходимости перезапускать службу.

Исключения

Есть возможность отключить определенные правила системы предотвращения вторжений, в случае их ложных срабатываний или по другим причинам.

На вкладке "Исключения" можно добавить ID правила (его номер, см. пример анализа логов ниже).

Внимание! Со временем при обновлении баз ID правил могут меняться.

Пример анализа логов

Пример 1

Предупреждение системы предотвращения вторжений:

04/04/2017-19:31:14.341627 [Drop] [**] [1:2008581:3] ET P2P BitTorrent DHT ping request [**]

[Classification: ] [Priority: 1] {UDP} 10.130.0.11:20417 -> 88.81.59.137:61024

Расшифровка полей:

04/04/2017-19:31:14.341627 - дата и время события.

[Drop]- действие системы, Drop - пакет блокирован, любая другая информация в этом поле означает Alert, информирование.

[ ]1:2008581:3 - ID правила в группе (ID содержится между знаками ":"). В случае, если правило необходимо добавить в исключения, нужнодобавить туда номер .2008581

[Classification: - трафик категоризирован правилами группы "Запросы на скомпрометированные ресурсы"

Таким образом, на вкладке "Правила" можно открыть найденную группу и в ней найти сработавшее правило по его ID:

drop udp $HOME_NET any -> $EXTERNAL_NET any (msg:"ET P2P BitTorrent DHT ping request"; content:"d1|3a|ad2|3a|id20|3a|"; depth:12; nocase;threshold: type both, count 1, seconds 300, track by_src;reference:url,wiki.theory.org/BitTorrentDraftDHTProtocol; reference:url,doc.emergingthreats.net/bin/view/Main/2008581; classtype:policy-violation;sid:2008581; rev:3;)

По ссылке (после url, в данном примере: doc.emergingthreats.net/bin/view/Main/2001891), как правило, можно получить дополнительную информацию осработавшем правиле.

10.130.0.11:20417 -> 88.81.59.137:61024 - IP-адрес с которого (в локальной сети), на который была попытка соединения.

Можно проанализировать IP-адрес, с которым была попытка подозрительного соединения, через .whois

Пример 2

Предупреждение системы предотвращения вторжений:

07/03/2015-14:52:07.654757 [Drop] [**] [1:2403302:1942] ET CINS Active Threat Intelligence Poor ReputationIP group 3 [**] [Classification: Misc Attack] [Priority: 2] {UDP} 24.43.1.206:10980 -> 192.168.10.14:32346

Для более подробного анализа логов с IP компьютера 192.168.10.14 в сервера выполняем команду:консоли

grep "10.80.1.13:" /var/log/suricata/fast.log

Получаем достаточно большое количество строк с блокировками соединений с IP-адресами, классифицируемыми разными категориями опасности.

В результате анализа ПО на компьютере была обнаружена и удалена adware-программа, на которую не реагировал локально установленный антивирус.

Технические требования

Для работы системы предотвращения вторжений требуются значительные вычислительные ресурсы. Предпочтительным являются многоядерные (4 иболее ядер) процессоры. Минимальное количество оперативной памяти для использования системы: 8 Гб.

После включения системы желательно проконтролировать, что мощности вашего процессора достаточно для проверки следующего через шлюзтрафика.

В разделе . Параметр load average (средняя загрузка за 1, 5 и 15 минут) не должен быть больше, чем количествоМониторинг - Системные ресурсыфизических ядер установленного процессора.

Сервисы

В данном подразделе описываются настройки служб шлюза безопасности Ideco UTM.

Маршрутизация

Общие принципы маршрутизации

Для перенаправления сетевого трафика, проходящего через Ideco UTM, используется система маршрутизации. Она имеет ряд преимуществ посравнению с некоторыми другими традиционными системами маршрутизации. Среди них:

Возможность указывать сеть источника прямо в маршруте.Возможность указания доли трафика, направляемого по маршруту в процентах по отношению к другим маршрутам.Маршрутизация по протоколу или порту сетевой службы.

Создавать и редактировать маршруты можно через веб-интерфейс Ideco UTM в разделе . Для добавления нового Маршрутизация«Сервисы ➔ »маршрута нажмите кнопку . Добавить« »На странице откроется конструктор маршрута:

https://www.nic.ru/whois/

Опишем назначение каждой опции:

- Адрес источника с маской, маска может быть прописана как в классическом виде, так и в виде количества бит.Адрес сети источника - Порт источника (указывается только если выбран протокол TCP или UDP).Порт источника

- Адрес назначения Адрес сети назначения с маской. Маска может быть прописана как в классическом виде, так и в виде количества бит. - Порт назначения Порт назначения (прописывается только если выбран протокол TCP или UDP). - Куда перенаправить трафик.Шлюз/интерфейс

- Возможные значения: TCP, UDP, GRE, ICMP. - Вероятность срабатывания, например, 50%. Используется только при настройкеПротокол %балансировки трафика между несколькими внешними интерфейсами.FORCE - Маршрутизировать независимо от маски интерфейсов. Эта опция ставится автоматически, если в этом есть необходимость, вручнуюеё лучше не устанавливать!

После сохранения маршрута страница выглядит так:

Для применения параметров маршрутизации требуется нажать на ссылку в верхней части страницы . Применить« » Это приведёт к кратковременной разавторизации всех пользователей и быстрому перезапуску сетевой подсистемы для создания нужных записей всистемной таблице маршрутизации.

Примеры популярных маршрутов:

Если маршрутизация осуществляется на Ethernet интерфейс, то указывается адрес шлюза этого Ethernet-интерфейса. Для виртуальныхвсегдаинтерфейсов (РРТР, РРРоЕ, OpenVPN) указывается интерфейс.всегда

При маршрутизации трафика на внешний интерфейс важно понимать, что чаще всего одного маршрута недостаточно, понадобится такжепереопределить адрес NAT, иначе такой маршрут просто не будет работать. NAT можно переопределить двумя способами:

через системный файрвол,

Задача: любой трафик в подсеть 172.16.10.0/24 направлять на шлюз 10.10.15.1:

Задача: любой трафик из подсети 172.16.15.0/24 направлять на шлюз 66.77.88.99:

Балансировка загрузки каналов основывается на вероятностном распределении трафика по каналам. Вероятность попадания трафика в выбранныйканал указывается в процентах, как показано в примере выше. Определение вероятности попадания трафика в заданный канал происходит сверху внизпо списку маршрутов балансировки. При этом одно соединение (например TCP-сессия) будет идти через один канал (пакеты внутри него не будутделиться между каналами). Следующее соединение уже может пойти через другой канал. Для 80 и 443 порта есть одно исключение из общих правил: трафик, идущий от одного клиента на один IP-адрес сервера будет всегда идти через один итот же канал. Трафик другого пользователя на этот же сервер может пойти через другой канал. Это необходимо для правильной работы веб-сайтов,отслеживающих IP-адрес клиента.

Поиск устройств

Включение данного модуля предоставляет возможность автоматического создания пользователя с для устройства,авторизацией по IP-адресупытающегося выйти в Интернет через Ideco UTM.Пользователь будет автоматически создан при попытке выхода в Интернет (данный модуль не осуществляет сканирования сети в поисках устройств, аработает в пассивном режиме).

Пользователи будут создаваться в указанной группе с именем, соответствующим IP-адресу или NetBIOS-имени компьютера.При необходимости можно ограничить локальные сети, пользователи из которых будут автоматически добавлены и авторизованы на Ideco UTM.Например, таким образом можно авторизовать пользователей, подключающихся по Wi-Fi или другой открытой сети.

Профили выхода в Интернет

ПрофилиСоздание и редактирование профиляПример использования профиля для лимитирования трафика

Профили

Профили используются для настройки квот трафика для пользователей.Ниже предоставлен пример списка профилей с двумя созданными записями: 1GB/месяц на пользователя и 10GB/месяц на пользователя.

Создание и редактирование профиля

Для создания нового профиля нажмите . Для редактирования существующего профиля выберите в .«Создать профиль» «Редактировать» «Действиях»

В открывшемся окне укажите:

Название профиля.Описание - для вашего удобства.Установите флажок , если это необходимо."Использовать квоты трафика"Период, на который лимитируется трафик.Квота на период - количество мегабайт внешнего трафика, выделенного на период.

Пример использования профиля для лимитирования трафика

В Ideco UTM возможна настройка лимитов трафика для пользователей. Подробнее о настройке рассказывается в разделе .Квоты

Пулы IP адресов

Для удобства управления IP-адресами назначаемыми пользователям и компьютерам используется понятие .Пул IP-адресов

Пул IP-адресов – это диапазон IP-адресов, из которого назначаются IP-адреса пользователям при их создании.

через системный файрвол,через профили пользователя.

Если вы настраиваете маршрут в удаленную сеть, доступную через дополнительный роутер, расположенный в той же локальной сети, что иклиенты, то убедитесь, что вы избежали " " и вынесли роутер в DMZ.ассиметричной маршрутизации

Пул IP-адресов – это диапазон IP-адресов, из которого назначаются IP-адреса пользователям при их создании.

Здесь создаются пулы IP-адресов, для последующего использования в вашей сети. Пулы IP-адресов используются для удобства и не являютсяобязательными для работы сети. Необходимость в их настройке, как правило, вызвана обилием используемых профилей, сложными конфигурациямисетей на предприятии или наличием нескольких подключений к провайдеру. Пулы IP-адресов позволяют сгруппировать пользователей по признакупринадлежности к разным подсетям, а уже этим подсетям должен быть разграничен доступ средствами или назначены определенныеFirewallамаршруты в другие подсети. Использование определенных пулов IP-адресов определяется у конечных пользователей или у группы.

Если ваши пользователи получают IP-адреса непосредственно от сервера Ideco UTM (например при подключении по VPN), то достаточно указать тотили иной пул IP-адресов, и при подключении по VPN исходя из логина подключаемого пользователя ему будет выдан IP-адрес из пула, указанного внастройках пользователя.

Название - может отражать территориальное или логическое предназначение пула.Диапазон - первый адрес в пуле, маска будет вычислена сервером автоматически. Например, "10.130.0.1 – 10.130.0.254".от Диапазон до - послений адрес в пуле, маска будет вычислена сервером автоматически. Например, "10.130.0.1 – 10.130.0.254".

Прокси

Прокси-сервер для веб-трафика

Служба прокси в составе Ideco UTM по умолчанию после установки шлюза настроена для веб-трафика потребителям впрозрачного проксированиялокальной сети предприятия, таким образом на хостах локальной сети не нужно явно указывать настройки прокси. Достаточно указания UTM вкачестве шлюза по умолчанию для устройств в сети.Признак применяется при наличии в сети сторонних ICAP-служб«Игнорировать ошибки модулей проверки и обработки веб-трафика (ICAP error)»(DLP, антивирусы веб-трафика и т.д...) и во включенном состоянии не разрешает трафик пользователям, если такая служба возвращает в UTM ошибки.

По умолчанию кэширование трафика на диск отключено, но оно осуществляется в оперативной памяти сервера. Включить кеширование веб-трафика надиск вы можете в разделе , но мы не рекомендуем этого делать по причине излишней нагрузки на дисковую подсистему. Как Прокси«Сервисы ➔ »правило, кеширования в оперативную память достаточно.

Опция перенаправления разных пользователей в разные каналы используется при настройке балансировки трафика, см. инструкцию приодновременном подключении к нескольким провайдерам.

к прокси-серверу можно настроить, отметив соответствующий чекбокс в , указав IP-адрес и порт на сторонеПрямые подключения Прокси«Сервисы ➔ »UTM. Затем эти реквизиты следует указать на тех сетевых устройствах локальной сети, веб-трафик которых нужно пропускать через прокси.

Настройка фильтрации HTTPS-трафика имеет свои особенности и описана в инструкции .настройка фильтрации HTTPSНиже предоставлен скриншот вкладки раздела Общие« » Прокси»« .

Роль прокси-сервера в работе шлюза Ideco UTM

Прокси-сервер, помимо проксирования веб-трафика, играет роль мастер-службы для нескольких сервисов, связанных с обработкой, контролем и учетомвеб-трафика пользователей на шлюзе, а именно:

Антивирус для веб-трафика (Антивирус Касперского или ClamAV).Сервис отчетности по веб-трафику пользователей.Контент-фильтр.

Прямые подключения к прокси-серверу

Данный режим применяется в случае, когда Ideco UTM не является шлюзом по умолчанию для клиентов сети.

Настройка режима:

Указать локальный IP-адрес Ideco UTM в качестве веб-прокси в локальной сети на клиентских устройствах. Возможно использованиепрокси-сервера для всех протоколов.В настройках прокси на Ideco UTM должны быть указаны IP-адрес и порт для прямых подключений к прокси (возможен выбор портов изсписка: 3128, 1080, 8000, 8080, 8888, 8081).

В таком режиме UTM сможет предоставлять хостам веб-контент и трафик по другим портам (по-умолчанию по всем, при необходимости можнозакрыть порты ), по необходимости производя учет ( ), контроль и проверку веб-трафика на вирусы, контент и вредоносное содержимоефайрволом квотыпри соблюдении следующих условий:

Пулы никак не связаны со службой DHCP, адреса из пула назначаются создаваемым в UTM пользователям, а не назначаются реальнымфизическим устройствам.

Не удаляйте пулы IP-адресов, даже если они вам не требуются (например, вы назначаете IP-адреса пользователям вручную). Это один изобязательных параметров у пользователя, без указания которого он не сможет авторизоваться на сервере.



закрыть порты ), по необходимости производя учет ( ), контроль и проверку веб-трафика на вирусы, контент и вредоносное содержимоефайрволом квотыпри соблюдении следующих условий:

Если в настройках программы под ОС Windows или Mac OS X нет возможности указать прокси-сервер, то можно воспользоваться сторонним ПО длямаршрутизации всего трафика рабочей станции на прокси-сервер. Например, такую возможность представляет программа .Proxifier

Исключения ресурсов из обработки прокси-сервером

На вкладке "Исключения" возможно исключить ресурсы из обработки прокси-сервером и всеми связанными службами (контент-фильтр,веб-отчетность, антивирусы).

По источнику: прокси-сервер исключается из обработки запросов из указанных внутренних сетей или IP-адресов.По назначению: прокси-сервер исключается из обработки запросов на внешние сети или IP-адреса (как правило адреса веб-сайтов иливеб-сервисов).

Исключить трафик из обработки прокси-сервером нельзя для варианта прямых подключений к прокси-серверу. Исключения нужно делать в настройкахпрокси-сервера на устройстве (в веб-браузере или системных настройках прокси-сервера).

Исключить IP-адреса из обработки прокси-сервером

В разделе службы можно настроить исключение трафика отдельных пользователей или трафика к определенным ресурсам вИсключения« » Прокси« »Интернет из прохождения и обработки веб-прокси, имеющегося в составе UTM.

Можно настроить два типа исключений:

Исключение трафика хостов локальных сетей UTM направленного вовне из обработки прокси ( ).Сети источникаИсключение трафика всех хостов в локальной сети, обслуживаемой UTM до определенных ресурсов в внешних сетях ( ).Сети назначения

Указывать можно только IP-адреса или IP-сети.

Трафик, исключенный из обработки прокси, не будет участвовать в , а также не может быть проверен на вирусы и обработан модулем Отчетах« » «Конте.нт-фильтра»

В то же время такой трафик будет проверен файрволом и службами предотвращения вторжений и контролем приложений.

Программы работающие по протоколам, отличным от HTTP(S) через веб-прокси

Некоторые программы, отправляющие трафик на свои серверы по портам 80 и 443, но при этом работающие по протоколам, отличным от HTTP(S), немогут быть обработаны веб-прокси сервером на UTM с включенной фильтрацией HTTPS трафика.Трафик таких программ следует исключать из обработки прокси в поле .Сети назначения« »

Сети 1с Коннект« »

185.104.248.141/3277.244.213.204/32185.188.183.87/32185.24.93.122/32185.143.172.61/32

Сети ВЭД-Декларант« »

Наличие доступа в Интернет у сервера Ideco UTM (его внешний интерфейс должен находится в не пересекающейся с локальнойподсетью диапазоне и иметь доступ в сеть Интернет).Авторизованности хоста-потребителя веб-трафика на сервере UTM по одному из , поддерживаемом UTM.типов авторизацииЯвном указании хосту (в настройках прокси-сервера в браузерах) адреса веб-прокси. При авторизации через ActiveSingle Sign-OnDirectory необходимо указывать в настройках доменное имя Ideco UTM, а не его IP-адрес.

Исключения ресурсов из обработки прокси-сервером работают только для прозрачного режима прокси. При прямых подключениях кпрокси-серверу исключить что-либо из обработки прокси нельзя.

1.

2. 3.

212.49.126.110/3246.48.116.196/3294.213.21.144/32194.213.21.144/3291.220.57.3/32

Подключение к внешним ICAP-сервисам

Существует возможность отправки HTTP(S)-трафика на анализ сторонним серверам по протоколу ICAP.

При этом трафик этим серверам (в роли которых могут быть DLP-системы, антивирусы, веб-фильтры) передается в расшифрованном виде.Настройки подключения к серверам по ICAP находятся на вкладке .Сервисы ➔ Прокси ➔ ICAP« »

Возможно установление подключения к нескольким ICAP-сервисам одновременно.

Настройка прокси с одним интерфейсом

При необходимости можно использовать Ideco UTM в качестве прокси-сервера с прямыми подключениями клиентов к прокси, с одним интерфейсом.

Для этого необходимо выполнить следующие настройки:

На вкладке , создать маршрут, перенаправляющий весь трафик на указанный шлюзСервисы ➔ Маршрутизация« »В адресах сети источника и назначения должны остаться значения .0.0.0.0/0

Применить маршрутРазрешить прямые подключения к прокси-серверу на вкладке , выбрав нужный порт из спискаСервисы ➔ Прокси« »

При использовании Ideco UTM в качестве прокси-сервера с прямыми подключениями к прокси, большинство функций будет работать в обычномрежиме, с некоторыми особенностями:

Убрать предупреждение о не настроенном внешнем интерфейсе можно создав "пустой" сетевой интерфейс (VLAN, если отсутствует второйфизический интерфейс на сервере) с не используемым в сети "серым" IP-адресом.В правилах межсетевого экрана для пользователей необходимо указывать пути , вместо .INPUT/OUTPUT FORWARDГлубокий анализ трафика системой предотвращения вторжений и модулем контроля приложений будет осуществляться только для трафикапроходящего через прокси-сервер (часть правил работать не будет).Исключения из прокси-сервера необходимо делать средствами браузера или маршрутами на конечных устройствах. Настройки на вкладке Сер«

применяются только для прозрачного режима работы прокси-сервера.висы ➔ Прокси Исключения»➔

Почтовый сервер

В Ideco UTM встроен полноценный почтовый сервер. Мы постарались обеспечить максимальную гибкость в его настройке. В данном разделе приводится инструкция по настройке почтовой службы, а также по применению дополнительных возможностей, таких как web-почта,проверка на вирусы и спам, почтовый релей, автоответчик и т.д...

Все возможности по почтового трафика возможно также применить к внутреннему почтовому серверу, опубликовав его через фильтрации почтовый.релей

Подготовка к настройке почтового сервераНастройка почтового сервераНастройка почтовых клиентовWeb-почтаПереадресация почты (почтовые алиасы)Дополнительные возможности и антиспамНастройка почтового релеяFetchmailРекомендации по защите сервераСхема фильтрации почтового трафика

Подготовка к настройке почтового сервера

Настройка домена у регистратора/держателя зоны

Для создания почтового сервера вам потребуется доменное имя. Вы можете зарегистрировать его у интернет-провайдера, предоставляющего вам услуги

доступа в интернет, или напрямую у регистратора, например, в . После того, как вы зарегистрируете доменное имя, вам потребуется внестиRUcenter

http://nic.ru/

1.

2.

3.

4. 5.

доступа в интернет, или напрямую у регистратора, например, в . После того, как вы зарегистрируете доменное имя, вам потребуется внестиRUcenterизменения в описание зоны на DNS-сервере (у держателя доменной зоны, которой зачастую является регистратор).

Нужно создать ресурсную запись типа А с именем для почтового сервера в вашем домене, указывающую на внешний IP-адрес Ideco UTM.Убедитесь, что на внешнем интерфейсе UTM назначен публичный адрес, доступный из сети Интернет. Нужно добавить ресурсную запись , указывающую на A-запись, которая была создана на предыдущем шаге. Запись типа MX указываеттипа MXна сетевой узел, который занимается обработкой почтовых сообщений для домена. Она должна ссылаться на доменное имя почтового сервера,а не на IP-адрес.Также обязательно добавьте обратную ресурсную запись . Эта запись должна быть прописана в файле обратной зоны. Эти изменениятипа PTRдолжны быть сделаны на стороне вашего Интернет-провайдера. Обратитесь к нему с просьбой прописать обратную ресурсную запись длявашего IP-адреса, которая должна ссылаться на вашу запись типа MX.Рекомендуется настроить для вашего почтового сервера.SPF-записьПосле настройки почтового сервера рекомендуется настроить также почтовых сообщений (Сервер - Почтовый сервер -DKIM-подписьБезопасность - DKIM-подпись).

Если рассмотреть набор необходимых записей на примере вымышленного домена example.net, то необходимо создать следующие ресурсные записи удержателя зоны:

А-запись вида , где это внешний IP-адрес Ideco UTM.mail.example.net. IN A 23.45.67.89 23.45.67.89MX-запись вида: .example.net. MX 10 mx.example.netSPF-запись объявляющая другим почтовым серверам в Интернет что отправка писем с вашего домена разрешена только с хоста почтовогосервера указанного в MX-записи: . example.net. IN TXT "v=spf1 a mx -all"

В случае использования почтового сервера на UTM в качестве почтового релея ресурсные записи будут выглядеть так же, так как в Интернете вашпочтовый сервер в локальной сети будет представлен на UTM.smtp-релеем

Настройка почтового сервера

Настройка почтового сервера

Для настройки почтового сервера в web-интерфейсе необходимо перейти в меню . В этом разделе находятся все ➔ Почтовый сервер«Сервисы »ключевые параметры, влияющие на работу почтовой службы.Все настраиваемые параметры разделены по нескольким категориям, которые описаны ниже.

Наименования разделов в расположенной ниже таблице кликабельны и являются быстрыми ссылками на документацию по соответствующему разделу.

Категории параметров почтового сервера

Общие Основные параметры.

Доставка Параметры, отвечающие за доступ пользователей к почтовому серверу и задающие лимиты почтовых ящиков. Также в разделенастраивается логика сортировки спама

Безопасность Параметры, отвечающие за обеспечение безопасности почтового сервера

Расширенные Расширенные параметры, такие, как копирование всей входящей/исходящей корреспонденции на ящик, загрузка почты с удаленныхсерверов и общие IMAP-папки.

Антиспам Антиспам на основе технологий Лаборатории Касперского с функцией машинного обучения и искусственного интеллекта.

Антивирусы Антивирус на основе технологий Лаборатории Касперского, а также свободный антивирус ClamAV с открытым исходным кодом.

Правила Белый и черный списки доверенных адресов и доменов, правила анализа писем на основе регулярных выражений, а также почтовыеалиасы.


Раздел общих настроек включает в себя множество базовых параметров, необходимых для работы почтового сервера в сети Интернет.Параметры представлены в перечне ниже.


Основной почтовыйдомен

Указывает серверу на его почтовый домен, для которого он должен принимать и обрабатывать письма. Все ящики пользователей будут принадлежать этому домену. От имени этого домена вы будете вести переписку скорреспондентами.

http://nic.ru/

https://ru.wikipedia.org/wiki/%D0%97%D0%B0%D0%BF%D0%B8%D1%81%D1%8C_MX

https://ru.wikipedia.org/wiki/%D0%9E%D0%B1%D1%80%D0%B0%D1%82%D0%BD%D1%8B%D0%B9_%D0%B7%D0%B0%D0%BF%D1%80%D0%BE%D1%81_DNS

https://www.reg.ru/support/pochta_general/pochta-reg-ru/nastroyka-spf-ptr-i-dkim-zapisey/kak-nastroit-spf-zapis

https://ru.wikipedia.org/wiki/DomainKeys_Identified_Mail

Имя хоста почтовогосервера

Как правило, совпадает с MX-записью для вашего домена. Это имя должно разрешаться из сети Интернет во внешнийIP-адрес UTMИспользуется почтовым сервером в диалоге при транспорте почты между другими почтовыми серверами как уникальныйидентификатор. Необходимо для корректной работы почтового сервера в сети Интернет.

Дополнительныепочтовые домены

Дополнительные домены, которые почтовый сервер будет считать своими. Корреспонденция, отправляемая с ящиков в этих почтовых доменах также будет обрабатываться сервером при условииправильной установки MX-записей

Relay-домены Почтовые домены в локальной сети, для которых будут пересылаться письма извне.

SSL-сертификат дляSMTP, IMAP, POP3

Загрузка бандла SSL-сертификатов, использующихся на почтовом сервере. При первом запуске службы автоматическигенерируется и подписываются корневым сертификатом Ideco ICS. Есть возможность установки доверенного сертификата, заверенного удостоверяющим центром, см. инструкцию

Форма общих настроек показана на фрагменте ниже.

Доставка

В этом разделе перечислены параметры доступа к почтовому серверу и доставки отправлений адресатам.

Доставка

Доступ по IMAP(143, STARTTLS)

Задействование возможности работы с почтовыми ящиками сервера по протоколу IMAP (с шифрованием STARTTLS) из локальной сети и Интернет.

Доступ по POP3(S)(110 STARTTLS, 995)

Задействование возможности работы с почтовыми ящиками сервера по протоколу POP3 (с шифрованием STARTTLS) из локальной сети и Интернет.

Использоватьweb-почту

Включение веб-интерфейса почтового клиента для доступа к почте на сервере. Задействует возможность подключения на локальный адрес сервера для клиентов, находящихся в локальной сети.

Максимальный размерящика, (МБ)

Ограничение на максимальный размер почтового ящика в мегабайтах.

Максимальный размерписьма, (МБ)

Ограничение на максимальный размер формируемого сервером письма в мегабайтах.

Удалять из корзины письмастарее, (дней)

Указание интервала очистки папки Trash (корзина) с удаленной корреспонденцией

Сортировка спама Задание логики сортирования нежелательной корреспонденции (спама). На выбор предоставляются следующие опции:

отключение сортировки,перемещение нежелательных отправлений в папку Spam,удаление таких писем с сервера.

Ящики, исключенные изсортировки и удаленияспама

Позволяет задать почтовые ящики, при отправлении на которые корреспонденция не будет проверяться на спам

Форма настроек доставки корреспонденции и доступа к почтовому серверу показана на фрагменте ниже.

Безопасность

Настройки безопасности не только определяют защиту самого почтового сервера,но и позволяют выполнять некоторые требования внутреннейполитики безопасности предприятия. Настройки безопасности приведены в перечне ниже.

Безопасность


Принимать почту от другихSMTP-серверовпо шифрованному соединению

Рекомендуется выбрать параметр "По возможности". При этом письма, передаваемые между почтовыми серверами, поддерживающими шифрование, будут зашифрованы.

Включить поддержку SASL дляаутентификацииSMTP-клиентов

Подключившись к почтовому ящику из интернета, отправить письмо, используя SMTP сервер Ideco,можно будет только пройдя авторизацию по логину и паролю, заданному для этой учетной записипользователя на сервере. Не включайте данный параметр, если используете ICS в качестве почтовогорелея.

Разрешить аутентификацию только черезTLS

Запрещает незащищенную передачу учетных данных клиента при аутентификации на SMTP сервере.

Фильтрация по серым спискам Включает фильтрацию по (greylisting) для входящей почты. При этом почта отсерым спискамнеизвестных доменов отправителей может приходить с небольшой задержкой.

Фильтрация по DNSBL Включает фильтрацию по для входящей почты.DNSBL

Доверенные сети Авторизация на сервере для доступа к почтовому ящику не требуется при попытке доступа из этих сетей. Указываются IP-сети и хосты в нотации CIDR или с префиксом сети, например: 10.0.0.5/255.255.255.255или 192.168.0.0/16.

DKIM-подпись

Настраивается в разделе . «Сервисы Почтовый сервер ➔ Безопасность ➔ DKIM-подпись»➔Подписывает исходящую с сервера корреспонденцию уникальной для вашего почтового домена подписью так, что другие почтовые серверы в Интернетмогут убедиться, что ваша почта легитимна и заслуживает доверия.

Для функционирования технологии вам потребуется создать TXT запись для вашего домена у держателя зоны со значением, которое сформирует длявашего почтового домена наш сервер. TXT записи будут сформированы для основного почтового домена, настроенного на ICS, и дополнительныхпочтовых доменов (если указаны). Сервер также проверит, правильно ли была указана запись для вашей зоны и резолвится ли она в Интернет.

Почтовая очередь

Эта вкладка раздела Безопасность позволяет управлять очередью почтовых отправлений, которые по каким-либо причинам не могут быть прямо« »сейчас отправлены или получены.Модуль позволяет управлять как входящей, так и исходящей отложенной корреспонденцией. Для анализа возможных причин задержкикорреспонденции в очереди вы можете использовать информацию из соответствующегостолбца таблицы для каждого письма. Предусмотрены как выборочные, так и групповые действия с отправлениями в очереди (очистка очереди,повторая отправка отдельного письма, удаление отдельных писем из очереди, повторная отправка всей корреспонденции из очереди).

Форма управления очередью почтового сервера предоставлена на фрагменте ниже.

Расширенные настройки

Электронная почта является важнейшей составляющей деловых процессов предприятия. Часто случается так, что базовых настроек оказываетсянедостаточно, и требуется более тонкая настройка, описанная в таблице ниже. В этом разделе описываются дополнительные параметры, которые выможете определить в Ideco UTM.

Расширенные настройки

Почтовый ящик для спама Весь входящий спам будет пересылаться на этот ящик (не используйте ящик spam).

Сортировать спам в IMAPпапку Spam

Письма, определенные как спам, перемещаются в отдельную IMAP папку Spam.

Ящики исключения изсортировки и удаления

Спам, приходящий указанным адресатам, не будет подвергнут сортировке или удалению.

Внешний SMTP-релей Вся исходящая почта будет отправляться на указанный адрес. Используется, например, в случае, если почта должнапроходить через вышестоящий сервер провайдера перед отправкой в интернет.

Удалять из корзины письмастарее

Удаляются письма старше указанного количества дней из IMAP папок "Удаленные и " "Спам ."

https://ru.wikipedia.org/wiki/%D0%A1%D0%B5%D1%80%D1%8B%D0%B9_%D1%81%D0%BF%D0%B8%D1%81%D0%BE%D0%BA

https://ru.wikipedia.org/wiki/DNSBL

Копировать всю исходящуюс домена почту

Вся исходящая почта будет дублироваться на указанный почтовый ящик. Рекомендуется включать только прикрайней необходимости.

Копировать всю входящуюна домен почту

Вся входящая почта будет дублироваться на указанный почтовый ящик. Рекомендуется включать только при крайнейнеобходимости.

Копировать всю почту Вся почта будет дублироваться на указанный почтовый ящик. Рекомендуется включать только при крайнейнеобходимости.

Дополнительные почтовыедомены

Список дополнительных доменов, почта которых будет обрабатываться почтовым сервером Ideco UTM.

Загрузка почты с удаленныхсерверов (fetchmail)

Правила сбора почты с внешних ящиков и ее перенаправления на ящики пользователей сервера.Записываются в соответствии с синтаксисом fetchmail, например: :pop3 user pass pop3.mymail.ru [email protected].

.ru

Интервал между проверкойпочты (fetchmail)

Интервал в минутах между проверкой доступности новых сообщений на внешних ящиках пользователей для сборапочты с них по правилам fetchmail, указанным выше.

Общие IMAP папки Указанные папки будут созданы на сервере и доступны всем пользователям.

Форма расширенных настроек показана ниже.

Антиспам

Позволяет управлять работой службы антиспама с функцией машинного обучения и искусственного на основе технологий Лаборатории Касперскогоинтеллекта.Также на этой вкладке предоставлена возможность добавления лицензионного ключа антиспама. Ключ поставляется в файле, имеющем расширение.key.Если вы приобретали лицензию на антиспам, но не имеете в своём распоряжении лицензионного ключа, проверьте переписку с отделом продаж нашейкомпании ([email protected]) на наличие вложений.В случае, если вы не нашли таких вложений, запросите ключ заново, выслав письмо на с указанием наименования вашей организации[email protected]или номером вашей лицензии.

Форма настройки модуля антиспама Касперского и добавления лицензионного ключа предоставлена ниже.

Антивирусы

Позволяет управлять состоянием антивирусов, проверяющих вложения сообщений, обрабатываемых почтовым сервером.Также на вкладке отображается дата последнего обновления сигнатур антивирусных баз.

Рекомендуется использование только одного антивируса единовременно.Включение обоих антивирусов возможно, однако не имеет практического смысла. Кроме того, в этом случае потребление аппаратных ресурсов обоимиантивирусами может быть неоправданно большим.

Форма настройки состояния антивирусов почтового сервера предоставлена ниже.

Правила

Переадресация

Позволяет настроить переадресацию почты на сервере с помощью почтовых алиасов. Алиасы отличаются от почтовых ящиков тем, что не требуютлогинов и паролей, они закрепляются за ящиком и служат его копией с другим именем, или, в случае назначения алиаса нескольким почтовым ящикам,может служить группой рассылки. Поступающая на алиас почта автоматически пересылается на все реальные почтовые ящики, связанные с этималиасом.Если перенаправление делается на какой-либо ящик в другом домене в интернете, то ящик, прописываемый в графе "Получатель", должен реальносуществовать.

Подробнее с документацией по настройке почтовых алиасов на Ideco UTM вы можете ознакомиться .по этой ссылке

Ниже предоставлен пример формы настройки алиасов на сервере.

Белый список

Позволяет указывать почтовые домены, IP-адреса почтовых серверов и почтовые ящики, отправления с которых не будут проверяться на спам.Если ящик одновременно указан и в чёрном, и в белом списке, последний имеет наивысший приоритет

Форма настройки белого списка почтового сервера предоставлена ниже.

http://pop3.mymail.ru


1. a.

b.

2.

1. 2.

a.

b. 3.

Черный список

Позволяет указывать почтовые домены и ящики, отправления с которых не будут приниматься сервером вовсе.Если ящик одновременно указан и в чёрном, и в белом списке, наивысший приоритет имеет белый список

Форма настройки чёрного списка почтового сервера предоставлена ниже.

Правила, заданные вручную

Предоставляет интерфейс для указания правил почтового сервера в формате регулярных выражений для Postfix.

(англ. ) — формальный язык поиска и осуществления манипуляций с подстроками в тексте,Регуля́рные выраже́ния regular expressions, regexpоснованный на использовании метасимволов. Представляет собой строку-образец (англ. , по-русски её часто называют «шаблоном», «маской»),patternсостоящую из символов и метасимволов. Строка-образец задаёт правило поиска.В нашем случае, при помощи регулярных выражений мы находим в письмах интересующие нас слова или символы, после чего разрешаем илизапрещаем такую почту.

С более подробной документацией по модулю указания правил, заданных вручную, вы можете ознакомиться .по этой ссылке Форма написания правил, заданных вручную для почтового сервера предоставлена ниже.

Настройка почтовых клиентов

Настройка почтового клиента для работы с сервером

Перед настройкой почтового клиента убедитесь, что у целевого пользователя отмечен чекбокс на вкладке :«Разрешить почту» «Почта»

Настройка почтового клиента при работе из локальный сети и из сети Интернет отличается, поэтому рассмотрим эти случаи отдельно:

Настройка почтового клиента при работе из локальной сети

При подключении почтовым клиентом из локальной сети:Сервер входящей почты работает на 995 TCP порту (РОР3) и на 143 TCP порту (IMAP) с шифрованием STARTTLS/SSL.

в качестве логина прописывается логин от учётной записи пользователя полностью название почтового ящика, если тот прописанлибов поле на вкладке у настраиваемого пользователя.Почтовый ящик« » Почта« » в качестве пароля всегда прописывается пароль от учётной записи пользователя (в том числе для пользователей, импортирванных издерева AD), задать отдельный пароль на почтовый ящик нельзя.

Сервер исходящей почты работает на 587 порту TCP с шифрованием STARTTLS. Если устройство (принтер, сканер и т.п.) не поддерживаетшифрование или изменение порта, то возможна отправка почты с авторизацией по 25 TCP порту. Без авторизации возможна отправка почтытолько из доверенных сетей (их можно настроить в разделе "Безопасность" почтового сервера).

Настройка почтового клиента при работе из Интернет

При подключении почтовым клиентом из сети Интернет:

Убедитесь, что у целевого пользователя в веб-интерфейсе отмечен чекбокс на вкладке Доступ к почте из Интернет« » Почта« » Сервер входящей почты работает на 995 TCP порту (POP3S) и на 143 TCP порту (IMAP-STARTTLS), шифрование обязательно.

в качестве логина прописывается логин от учётной записи пользователя либо полностью название почтового ящика, если тот прописанв поле на вкладке у настраиваемого пользователя.Почтовый ящик пользователя Почтав качестве пароля всегда прописывается пароль от учётной записи пользователя, сделать отдельный пароль на почту нельзя.

Сервер исходящей почты работает только с авторизацией и шифрованием. Необходимо обязательно использовать для подключения (а587 портне 25). Тип шифрования, логин и пароль указываются аналогично серверу входящей почты.

Для любого почтового клиента, кроме веб-интерфейса почты в составе UTM, установите корневой сертификат сервера UTM, который можно скачать настранице входа в административный веб-интерфейс UTM. Это более правильное решение, которое позволяет избежать проблем с принятием деривативного сертификата для почтовых протоколов каждый разпосле смены деривативного сертификата, например, вследствии изменения сетевых настроек сервера.

В Ideco UTM мы предоставляем интерфейс для написания регулярных выражений с парой простейших примеров. Составление регулярных выражений - это обязанность администратора.

.Техническая поддержка не консультирует пользователей по этим вопросам


Примеры настроек популярных почтовых клиентов

Пример настроек клиента Microsoft Outlook 2013 по протоколу IMAP:

Пример настроек клиента Microsoft Outlook 2016 по протоколу IMAP:

Порт 143 (IMAP) или 110 (POP3) нужно прописать вручную, иначе iphone выставит 993 или 995 при включении SSL.

Для отображения IMAP-папок снимите галочку "При просмотре дерева в Outlook показывать только подписанные папки" в свойствах IMAP-папок.

Настройка почтового клиента iphone

Перед настройкой ящика надо установить корневой SSL сертификат UTM. Его можно скачать с страницы входа в административный веб-интерфейсUTM (под формой ввода логина и пароля).Например, прислав его себе на почту, открыть его на iphone. При открытии файла сертификата - система предложит его добавить (фрагмент 1). Нажатьна кнопку "добавить".После надо зайти в "Настройки" и далее в раздел (фрагмент 2).Основные - об этом устройстве (внизу) - доверие сертификатовВ разделе "Доверие сертификатов" включить "Доверять корневым сертификатам полностью" (фрагмент 3)

Установка SSL-сертификата ICS

После установки сертификата настройте доступ в почтовый ящик как показано на следующих фрагментах.

Настройка почтового ящика по IMAP и SMTP

Настройка почтового клиента Thunderbird

Настройка почтового ящика по IMAP и SMTP

Web-почта

Почтовый веб-интерфейс в нашем продукте может работать как на локальном, так и на внешнем интерфейсе. Для его работы необходимо отметитьчекбокс Сервисы -> Почтовый сервер -> Доставка -> Использовать web-почту для веб-почты на локальном интерфейсе. И Сервисы -> Обратный прокси -> Web-почта на внешнем интерфейсе для работы веб-почты на внешнем интерфейсе.

На фрагменте ниже веб-интерфейс почты включен для локальных и внешних подключений:

Далее, чтобы пользователь мог подключиться из локальной сети к почтовому веб-интерфейсу на локальный адрес Ideco UTM, в его настройках долженбыть отмечен чекбокс на вкладке .Разрешить почту Почта

Для возможности пользователя подключаться к интерфейсу web-почты из Интернет на внешний IP-адрес основного внешнего интерфейса Ideco UTM, вего настройках также должен быть отмечен чекбокс на вкладке .Доступ к почте из Интернет Почта

Когда все настройки произведены, из локальной сети в браузере наберите , где 192.168.0.1 - адрес локального интерфейса; изhttps://192.168.0.1/mailИнтернет наберите в браузере , где 66.77.88.99 - адрес внешнего интерфейса. Для подключения обязательно использоватьhttps://66.77.88.99/mailHTTPS.

В открывшейся в вашем браузере форме входа в почтовый ящик в качестве логина укажите логин от учётной записи пользователя илиполностью название почтового ящика, если тот прописан в поле на вкладке у настраиваемогоПочтовый ящик пользователя Почтапользователя.В качестве пароля всегда прописывается пароль от учётной записи пользователя, сделать отдельный пароль на почту нельзя.

При успешном входе в браузере будет открыт веб-интерфейс к почтовому ящику пользователя:

Веб-интерфейс встроенного почтового клиента работает с почтовым сервером по протоколу IMAP и обладает следующими возможностями:

Начиная с версии UTM 7.0.0 подключиться из Интернет программой Outlook (любой версии) по протоколу POP3 нельзя. Outlook неподдерживает тип шифрования STARTTLS для POP3, а поддерживает только устаревшие и небезопасные SSL/TLS, которые в нашемпочтовом сервере более не используются. Подключение без шифрования извне также запрещено на нашем почтовом сервере. Тем не менее,остается возможность подключаться по протоколу IMAP с использованием STARTTLS. Для этого выберите тип шифрования в"Авто"Outlook.

Подключиться к веб-интерфейсу почты из локальной сети можно только на первый IP-адрес основного локального интерфейса.

К внешнему веб-интерфейсу почты можно подключаться по первому IP-адресу основного внешнего интерфейса или по доменному имени,ассоциированному с этим IP-адресом.

https://192.168.0.1/mail,

https://66.77.88.99/mail

Веб-интерфейс встроенного почтового клиента работает с почтовым сервером по протоколу IMAP и обладает следующими возможностями:

Создавать и отправлять письма. Поддерживается загрузка множественных вложений.Просматривать, удалять, перемещать письма. Управлять IMAP-папками ящика.Глобальная и персональная (для конкретного ящика) адресные книги, работающие только в рамках веб-приложения.Адресная книга поддерживает формат контактов VCARD и может быть экспортирована и сохранена на вашем компьютере в этом формате.Календарь с возможностью создавать события и уведомлять о них сотрудников по почте.Цветные метки писем, как это принято в почтовом клиенте Thunderbird. Проставляются клавишами от 1 до 5. Изменения сохраняются насервере так, что в другом почтовом клиенте метки будут видны.Гибкий расширенный поиск по всем письмам ящика. Находится в разделе "Еще..." панели инструментов ящика.

Смена логотипа и текста приветствия на странице входа

Чтобы заменить надпись и логотип на странице входа в web-почту, нужно подменить системные файлы на диске и изменить их.Сделать это можно, войдя на UTM по ssh от root, включив на UTM и выполнив команды, приведенные ниже.режим удаленного помощника

Скопируйте конфигурационный файл на диск с изменяемыми данными:

cp /usr/share/www/mail/config/config.inc.php /mnt/rw_disc/

Временно разрешите запись на диск с системными данными и измените файл ics_tune.sh, как показано ниже.

mount -o rw,remount /nano /usr/local/ics/bin/ics_tune.sh

Внесите в файл следующее содержимое. Оно сообщает системе о том, что файл логотипа и конфигурации нужно подменить копиями с раздела сизменяемыми данными.

#!/bin/bash

if [ "$1" = "networkd" ]; then mount --bind /mnt/rw_disc/config.inc.php /usr/share/www/mail/config/config.inc.php mount --bind /mnt/rw_disc/logo.png /usr/share/www/mail/skins/classic/images/ideco-logo.png mount --bind /mnt/rw_disc/logo.png /usr/share/www/mail/skins/larry/images/ideco-logo.pngfi

Убедитесь, что в конце файла присутствует пустая строка. Нажмите для выхода и для подтверждения записи данных в файл.Ctrl+x y

Находясь в консоли, верните режим работы системного раздела .только для чтения

mount -o ro,remount /

В конфигурации web-почты ( ) поменяйте параметр , указав в нем ваш текст./mnt/rw_disc/config.inc.php $config['product_name'] = 'Ideco Webmail';

Ваш логотип поместите в файл ./mnt/rw_disc/logo.png

После проделанных действий выполните перезагрузку UTM.

Переадресация почты (почтовые алиасы)

Для того чтобы создавать и редактировать почтовые правила переадресации (алиасы) перейдите в раздел Сервисы -> Почтовый сервер -> Правила ->Переадресация

Почтовые алиасы отличаются от почтовых ящиков тем, что не требуют логинов и паролей, они закрепляются за ящиком и служат его копией с другимименем, или, в случае назначения алиаса нескольким почтовым ящикам, можно сказать что алиас - это группа почтовых ящиков или группа рассылки.Поступающая на алиас почта автоматически пересылается на все реальные почтовые ящики, связанные с этим алиасом. Часть адреса @yourdomain.comможно не указывать при создании правил, если ящик расположен на почтовом сервере Ideco UTM. Если перенаправление делается на какой-либо ящикв другом домене в интернете, то ящик, прописываемый в графе "Получатель", должен реально существовать.

Примеры:

Создать алиас для ящика менеджера вашей компании для связи с клиентами и партнерами, у которого существующий[email protected]почтовый ящик имеет имя :[email protected]

Создать корпоративный алиас для отдела продаж , чтобы почта пересылалась на всех сотрудников этого отдела:[email protected]

Создать временный алиас для переадресации почты сотрудника, который находится в отпуске на ящик его коллеги [email protected] с сохранением почты на ящике :[email protected] [email protected]

Создать алиас , который будет перенаправлять почту на реальный ящик :[email protected] [email protected]

Сами алиасы создаются автоматически при создании правил. После создания всех правил у нас получился вот такой список:

Опишем, как будет работать почта при таких правилах переадресации:

Письма, приходящие на несуществующий ящик (алиас) , будут попадать на реальный . Также есть[email protected] [email protected]алиас для отдела продаж , который, по сути, служит алиасом для рассылки почты и сам писем не хранит. Это удобно, если есть[email protected]информация для отдела продаж, которую надо распространить на каждого сотрудника. Всё то же самое можно сделать, если просто указать в письме

всех получателей, но использовать алиас намного удобнее. Также сотрудник с почтой сейчас находится в отпуске и вся[email protected]

1. 2. 3. 4.

всех получателей, но использовать алиас намного удобнее. Также сотрудник с почтой сейчас находится в отпуске и вся[email protected]приходящая к нему почта попадает на его ящик и дублируется на . Последнее правило позволяет директору получать[email protected]почту не на корпоративный ящик, а на его личную почту на Яндексе.

Дополнительные возможности и антиспам

Почтовые правила для ограничения почты

Перейдя в раздел , вы увидите интерфейс написания регулярных выраженияСервисы -> Почтовый сервер -> Правила -> Правила, заданные вручную(regexp) почтового сервера (в нашем случае postfix).

Для работы с почтовыми правилами необходимо знать, что такое регулярные выражения:

Регуля́рные выраже́ния (англ. regular expressions, regexp) — формальный язык поиска и осуществления манипуляций с подстроками в тексте,основанный на использовании метасимволов. По сути, это строка-образец (англ. pattern, по-русски её часто называют «шаблоном», «маской»),состоящая из символов и метасимволов и задающая правило поиска.

В нашем случае, при помощи регулярных выражений мы находим в письмах интересующие нас слова или символы, после чего разрешаем илизапрещаем такую почту.

Regexp можно написать:

По адресу отправителя.По адресу получателя.По заголовку письма.По тексту письма.

Однако, фактически regexp стоит писать только с использованием латинских символом и цифр, поскольку используется кодировка ASCII, поэтомупочтовые правила будут эффективны только в ограничении доменов и почтовых адресов. В качестве контент-фильтрации по ключевым словам изкириллических символов они будут неэффективны.

Глобальные списки доступа (черный/белый)

В составе Ideco UTM действует ряд антиспам-фильтров на разных стадиях обработки входящих писем по протоколу SMTP:

Предварительный Высокоэффективный фильтр . Работает на стадии создания подключения к нашему почтовому серверу другимиpostscreenпочтовыми серверами из интернета.На этой стадии ведутся проверки удаленных серверов на их присутствие в списках DNSBL и фильтруются подключения, нарушающиепротокол SMTP (быстрая посылка команд, неверные команды и т.д.).Фильтры и проверки на соблюдение прокола SMTP почтового сервера (проверка адреса отправителя и получателя, правильностьpostfixзаголовков письма и того, как представился удаленный почтовый сервер).Почтовые фильтры (мильтры), такие как грейлистинг, антиспам Касперского, DKIM-сервер.

В совокупности перечисленные методы борьбы со спамом осуществляют надежное и эффективное исключение нежелательных писем из перепискиваших клиентов. Но могут возникать и , когда легитимное письмо (отправитель или сервер отправителя) были приняты нашимложные срабатываниясервером за спам. Мы делаем упор на минимизацию возможности ложных срабатываний в нашем почтовом сервере в ущерб проникновению особотонких спам-техник, поэтому большого количества ложных срабатываний ожидать не стоит.

Но все же, если такое случится, мы предусмотрели возможность исключения адресов или серверов клиентов из всех вышеперечисленныхспам-фильтров. Для этого занесите IP-адрес почтового сервера отправителя (как правило на него указывает MX-запись домена отправителя) илидоменное имя отправителя в белый список в разделе . На фрагменте ниже показан пример"Сервисы -> Почтовый сервер -> Правила -> Белый список"добавления адресов отправителей в белый список. На них не будут действовать проверки на спам, поэтому заносите в этот список только отправителей,которым вы действительно доверяете.

Начиная с версии , помимо единого белого списка для почтового сервера и связанных с ним антиспам служб, добавлена возможностьUTM 7.5.0настраивать черный список для почты.Оба списка для контроля доступа находятся в разделе .Сервисы -> Почтовый сервер -> Правила

Имейте ввиду:

Алиас не является действительным почтовым ящиком. К нему нельзя подключиться почтовым клиентом, используя логин и пароль,как в обычном почтовом аккаунте. Таким образом, создание алиасов не увеличивает максимально возможное количество реальныхпочтовых аккаунтов на Ideco UTM, которое равно количеству пользовательских аккаунтов в купленной вами лицензии.Также если вам просто нужно, чтобы адрес ящика пользователя отличался от его логина, то не обязательно создавать алиас, можнопросто прописать желаемое имя ящика в поле в свойствах пользователя. Запись должна иметь вид: Почтовый ящик пользователя pos

, именно с доменной частью после символа "@"[email protected]

В Ideco UTM мы предоставляем интерфейс для написания регулярных выражений с парой простейших примеров. Составление регулярныхвыражений - это обязанность администратора. .Техническая поддержка не консультирует пользователей по этим вопросам

настраивать черный список для почты.Оба списка для контроля доступа находятся в разделе .Сервисы -> Почтовый сервер -> ПравилаТаким образом можно контролировать списки доступа (ACL) для почтового сервера, приоритетно разрешая прием от определенных источников почты,или блокировать входящие письма от других источников.

Источниками в обоих списках доступа могут выступать:- сервера отправителя. Это адрес того SMTP-сервера, который непосредственно отправляет письмо на UTM из Интернет по SMTP. КакIP-адресправило, MX-запись домена указывает на этот хост. В случае с почтовыми распределенными сетями (CDN), IP-адрес SMTP-сервера меняется каждыйраз при отправке нового письма, даже если адрес отправителя остался прежним. Пример почтовых CDN: , .gmail.com accountprotection.microsoft.com- отправителя письма. Например: yandex.ru, gmail.com, mail.ru.Домен- (ящик) отправителя. Например [email protected], [email protected].Почтовый адрес

Возможности указывать IP-сети и диапазоны IP-адресов нет.Маски (*.domain.ru) и домены первого уровня (.ru) не поддерживаются.Почтовый адрес указывать не рекомендуется, так как в анализе писем по протоколу SMTP он находится на одной из верхних стадий, легкоподделывается удаленной стороной и, в целом, эксперты не рекомендуют принимать решение о блокировке/разрешении почтовой транзакции попочтовому адресу отправителя.Рекомендуется оперировать IP-адресами почтовых клиентов или их доменами.

На фрагментах ниже показан пример добавления адресов отправителей в белый и черный списки.На источники в белом списке не будут действовать проверки на спам, поэтому заносите в этот список только отправителей, которым вы действительнодоверяете.Обратите внимание, что в черный список внесен домен, отправитель из которого приоритетно разрешен в белом списке.В таком случае почта на UTM будет приходить только от этого отправителя, а от остальных отправителей в этом домене - блокироваться.Для сохранения изменений в каждом из списков нужно нажать кнопку Сохранить. Изменения вступают в силу сразу, не требуя перезапуска почтовойслужбы.

При занесении одинаковых источников в белый и черный списки (два одинаковых IP или почтовых адреса), белый список имеет приоритет над чернымсписком, и письма от источника будут разрешены и приняты почтовым сервером.

При занесении пересекающихся источников в оба списка корреляции между источниками не происходит. Приоритет будет отдан сначала IP-адресам,затем ящикам и затем доменам.Т.е. если запрещен IP-адрес почтового сервера и разрешен домен, который он обслуживает, то письма от него будут блокироваться (блокировка поIP-адресу имеет приоритет). Обратный пример: Разрешен IP-адрес, но запрещен домен. Письма блокируются, просто на более поздней стадии, припроверке почтового домена.Другой пример: в белый список внесен домен, в черный внесен ящик из этого домена. Письма с ящика будут заблокированы. Обратный пример: письмаот ящика, занесенного в белый список, будут разрешены даже если домен, которому принадлежит ящик, занесен в черный список.

Схема обработки писем в почтовом сервере представлена в статье .Схема фильтрации почтового трафикаОбратите внимание, что и списки срабатывают после нескольких предварительных этапов фильтрации.Черный Белый

Антиспам Касперского

На вкладке активируется и запускается "Антиспам Касперского". Единственный коммерческий антиспам в составе нашего продукта. Активируетсяключом, который можно получить в отделе продаж нашей компании вместе с лицензией на антиспам. Базы обновляются несколько раз в день.Детальная настройка антиспама не предусмотрена. Модуль предварительно сконфигурирован нашими специалистами для оптимальной работы спочтовым сервером и для большинства типичных конфигураций почтового сервера. Если почтовый сервер работает в режиме SMTP-релея, то всявходящая транзитная корреспонденция так же проверяется модулем.

Антивирусы для почтового трафика

В составе сервера доступны два антивируса:

Некоммерческий open-source антивирус . Базы обновляются несколько раз в день.Clamav

Антивирус Касперского, предоставляемый на коммерческой основе. Приобрести лицензию на его использование можно в отделе продаж нашейкомпании. Базы также обновляются несколько раз в день.

Оба антивируса проверяют входящую корреспонденцию как в обычном режиме работы почтового сервера, так и в режиме SMTP-релея.

DKIM-подпись

Настраивается в разделе . Подписывает исходящую с сервера корреспонденцию" -> Безопасность -> DKIM-подпись"Сервисы -> Почтовый серверуникальной для вашего почтового домена подписью так, что другие почтовые серверы в Интернет могут убедиться, что ваша почта легитимна изаслуживает доверия. Для функционирования технологии вам потребуется создать TXT запись для вашего домена у держателя зоны со значением,которое сформирует для вашего почтового домена наш сервер. TXT записи будут сформированы для основного почтового домена, настроенного наUTM, и дополнительных почтовых доменов (если указаны). Сервер также проверит, правильно ли была указана запись для вашей зоны и резолвится лиона в Интернет.

Проверка настроек почтового сервера

Рекомендуется проверить корректность всех настроек DNS и почтового сервера с помощью сервиса: mail-tester.com

При правильной настройке почтовый сервер на Ideco UTM должен получить 10 баллов из 10.

Настройка почтового релея

Настройка Ideco UTM в качестве SMTP-релея для почтового сервера в локальной сети

Подробно описана в в разделе .отдельной статье Публикация ресурсов

Fetchmail

Синхронизация с удаленным почтовым сервером в Интернете с помощью Fetchmail

Для того чтобы собирать почту с удаленного почтового сервера на сервер Ideco UTM используем сборщик почты fetchmail, настройка которого доступна

Объем TXT-записи достаточно велик и многие регистраторы/держатели зон испытывают сложности с предоставлением интерфейса клиентамдля указания TXT-записей длиннее 256 символов. Зачастую они предоставляют возможность указания TXT-записей длиной до 256 символовсогласно стандарту RFC1035. Но другой стандарт, RFC4408, предполагает объединение строк в случаях, когда нужно использовать длинныеTXT-записи при настройки SPF и DKIM. Оперируйте этой информацией в диалоге с держателем вашей доменной зоны. Как правило,держатели зон находят способ создания длинных TXT записей.

http://mail-tester.com



Для того чтобы собирать почту с удаленного почтового сервера на сервер Ideco UTM используем сборщик почты fetchmail, настройка которого доступнав веб-интерфейсе . Для каждогоСервер -> Почтовый сервер -> Расширенные настройки почты -> Загрузка почты с удалённых серверов (fetchmail)почтового ящика создается отдельное правило.

Предположим:Адрес почтового сервера в Интернет, на котором зарегистрированы и хостятся ваши почтовые ящики: .mailserver.ruПочтовый ящик, зарегистрированный на этом сервере, имеет логин: petrov.Пароль от этого ящика: petrovpasswd.Почтовый домен Ideco UTM: .mydomain.ruПочта должна быть направлена в ящик пользователя [email protected]

Тогда правило будет выглядеть так:

mailserver.ru:pop3 petrov petrovpasswd [email protected]

Если нужно не удалять загруженные письма с удалённого почтового сервера, используем ключ keep:

mailserver.ru:pop3 petrov petrovpasswd [email protected] keep

Если нужно собирать почту с сервера по защищённому каналу, используем ключ ssl:

mailserver.ru:pop3 petrov petrovpasswd [email protected] ssl

После добавления всех правил и сохранения конфигурации правила начинают действовать незамедлительно. С этого момента начнется сбор почты сучетных записей удаленного сервера и сортировка писем по почтовым ящикам на сервере Ideco UTM.

Начиная с версии 7.3.0

Из запуска службы по умолчанию убраны параметры отменявшие их работу в пользовательских правилах.keep, flush и allТеперь администратор может более гибко настраивать правило сбора почты для каждого ящика.Примеры типовых конфигураций сбора почты с использованием комбинаций этих параметров:

keep, flush - новые письма из удаленного ящика забираются и помечаются как прочитанные, старые удаляются сбором писем.передПосле каждого сбора писем в удаленном ящике остаются только новые, со времени последнего сбора, письма, если такие были, метятся прочитанными иудаляются в начале следущего сбора самим сбором (дублирования в ящике получателя не происходит).перед

- забирает из удаленного ящика только новые письма, метит их как прочитанные. Не удаляет письма из удаленного ящика.keep - неверная настройка при которой письма из удаленного ящика не удаляются но забираются снова каждый раз, письма дублируются доkeep, fetchall

бесконечности в ящике получателя. - забираются и удаляются новые письма. Если в удаленном ящике были старые, на момент включения nokeep, то они не забираются и неnokeep

удаляются. - новые письма забираются и удаляются, старые, если были на момент включения flush, удаляются перед сбором писем. Почти безполезноеnokeep, flush

сочетание, так как после первого flush при nokeep ящик впоследствии всегда остается пустым. - забирает старые и новые письма из ящика и удаляет старые, если были на момент включения fetchall (если старые письма ранее былиnokeep, fetchall

собраны, создаст дубли в ящике получателя). Удаленный ящик остается пустым после каждого сбора.

Умолчания:nokeepnofetchallnoflush

Официальная документация по fetchmail: http://www.fetchmail.info/fetchmail-man.html

Рекомендации по защите сервера

Ideco UTM с настройками по умолчанию уже содержит необходимые правила для безопасной работы почтового сервера и защиты его от иbrute forceDoS-атак. Но нужно понимать, что защитить вас от DDoS-атаки или большого количества флудового трафика не сможет ни один сервер, это решаетсяна вышестоящем оборудовании, чаще всего на стороне провайдера.

Совет для всех администраторов, которые хотят держать почтовый сервер на шлюзе: если все пользователи в вашей локальной сети работают только свашим почтовым сервером или веб-почтой из Интернет, и подключение почтовыми программами к внешним почтовым серверам запрещенополитиками безопасности, то лучше заблокировать порт 25 TCP для всех пользователей для отправки по нему трафика наружу. Делается это черезсистемный , правило будет выглядеть так:файрвол

http://mailserver.ru

http://mydomain.ru

http://www.fetchmail.info/fetchmail-man.html

При наличии такого правила, если пользователи в локальной сети будут заражены вирусом или почтовым ботом, который будет напрямую слать почту вИнтернет, то этот трафик будет заблокирован и вы не попадёте в спам-листы публичных ресурсов.

Схема фильтрации почтового трафика

Помимо почтовых фильтров, в фильтрации почтового трафика на Ideco UTM задействованы и другие службы.

Полная схема и последовательность фильтрации представлена на схеме.

Модуль Антиспама Касперского в свою очередь использует собственный набор методик для фильтрации спама. Он обеспечивает высокий уровеньдетектирования спама при низких значениях ложных срабатываний (0,003-0,005% от общего количества сообщений).Для защиты пользователей используется большой набор технологий распознавания спама с использованием внешних облачных сервисов (DNSBL, SPFи SURBL) и собственных алгоритмов: сигнатурный анализ текста и графики, лингвистический эвристик, использование UDS-запросов в режимереального времени. Также проверяются все ссылки в почтовых сообщениях, письма со ссылками на фишинговые ресурсы блокируются.

Белый список в настройках почты обеспечивает прохождение писем без фильтрации начиная с уровня "Фильтрации по серым спискам и проверкиDKIM/SPF". Предварительные спам-фильтры срабатывают для любых адресатов.

Обратный прокси

Технология обратного прокси (реверс-прокси, reverse-proxy) позволяет проксировать веб-трафик в обратном направлении: из сети Интернет влокальную сеть, в отличие от наиболее часто используемого варианта из локальной сети в Интернет.—Обратное проксирование применяется для публикации веб-ресурсов, размещенных в локальной сети, таким образом, чтобы они стали доступныпотребителям из сети Интернет. Такой подход заменил портмаппинг (DNAT) и расширил возможности по публикации . веб-ресурсов

Обратный прокси отличается от DNAT тем, что работает на более высоком уровне (прикладной протокол HTTP вместо сетевого протокола IP) ипозволяет более гибко реализовать публикацию ресурсов. Основным параметром при публикации веб-ресурса является входящий URL . Из внешней« »сети по протоколу HTTP и данному URL будет произведено обращение на UTM. Обратный прокси позволяет смаршрутизировать (http-routing) такой« »запрос на HTTP-сервер в локальной сети. Таким образом, имея одну ресурсную A-запись для внешнего сетевого интерфейса UTM, можно опубликоватьнесколько ресурсов в локальной сети, распределив их по нескольким входящим URL. Если же с внешним IP-адресом UTM ассоциировано несколькоA-записей, то маршрутизация становится еще более простой, а входящие URL - более удобными для посетителей ресурсов.

Также обратный прокси в составе UTM позволяет перенаправлять все HTTP-запросы на HTTPS-схему. Это нужно если, например, ваш сайт работаеттолько по HTTPS (современная тенденция в веб-безопасности), но при этом вы не хотите терять посетителей, обратившихся к вашему сайту поHTTP-схеме.

Веб-интерфейс настройки модуля достаточно прост и состоит из двух частей:

Системное правило для публикации веб-почты

Описывает доступ к встроенному веб-клиенту почтового сервера на UTM ( ). Так называемая . Теперь прина основе Roundcube внешняя веб-почтанастройке веб-почты в разделе вам нужно также указать URL, с которого будет производиться роутинг на веб-сервер,"Сервер - Почтовый сервер"обслуживающий почтовый веб-клиент в составе UTM. В примере ниже это . Учтите, что у вас должна быть настроена A-запись для внешнего IP-адреса UTM, которая позволяет резолвитьyourdomain.ru/mailадрес в указанный домен, чтобы была возможность обратиться к шлюзу по этому доменному имени.

- это URL, выделенный для сервиса веб-почты. Ниже мы рассмотрим пример выделения URL для публикации exchange-сервера в локальной/mail /owaсети при обращении на тот же домен .yourdomain.ruЗапись вида нужна, чтобы веб-почта отвечала при обращении на любой внешний IP UTM. 0.0.0.0, в данном конкретном случае, можно0.0.0.0/URLчитать как "любой внешний адрес UTM". Может быть удобно при динамическом внешнем IP, выдаваемом UTM провайдером, или при множественастроенных внешних IP-адресов на внешних интерфейсах UTM.Удалить системное правило для веб-почты нельзя.

Для публикации веб-ресурсов в локальной сети (по портам 80 и 443) всегда используйте обратный прокси. Не используйте портмаппинг(DNAT) в файрволе.

1. 2.

3.

Блок пользовательских правил

Вы можете создать неограниченное количество правил публикации внутренних веб-ресурсов в этом блоке.Ниже на фрагменте экрана приведена типичная конфигурация: Публикация сайта в локальной сети по обращению к внешнему доменному имени (yourd

) и публикация веб-интерфейса управления почтовым сервером exchange по дополнительному URL ( ).omain.ru website.localДля сайта в примере дополнительно производится перенаправление всех обращений по схеме HTTP от посетителя на HTTPS.В верхнее поле следует загружать для внешнего домена, доступного из Интернет. В нижнее, если локальныйСертификат цепочку сертификатоввеб-сервер того требует, самоподписанный сертификат (цепочку сертификатов) для локального домена, доступного из внутренней сети. В большинствеслучаев достаточно загрузить только внешнюю цепочку сертифкатов.

Публикация Outlook Web Access

Для версий Microsoft Exchange 2007, 2010 возможна публикации OWA с помощью включения специальной дополнительной настройки - "Outlook WebAccess" при создании пользовательской записи обратного прокси-сервера.

При этом в Exchange должна быть настроена аутентификация пользователей через форму.

Публикация Outlook Web Access stream

Прямой способ публикации веб-ресурсов, практический аналогичный , но с возможностью использования сертификатов обратногоDNATпрокси-сервера для публикации HTTPS-ресурсов.Подходит для публикации Microsoft Exchange 2013 и других веб-приложений.

При создании пользовательских правил укажите в доп. настройках "Outlook Web Access stream. В полях "Запрос на адрес" и "Перенаправить на"укажите только домены без остальной части URL (она не используется при публикации этим способом).https://youdomain/При использовании данного метода возможна публикация только одного веб-ресурса. Все остальные правила обратного прокси-сервера одновременно сэтим правилом работать не будут.

Если у вас имеется доверенный SSL сертификат для домена, по которому будет идти обращение извне на публикуемый ресурс, подготовьте его как связ и поместите на UTM, загрузив в поле "Сертификат" под текстовым полем "Домен и путь". Сертификаты нужно загружать в форматеку сертификатов

PEM.

Web Application Firewall

Данный модуль позволяет защитить опубликованные с помощью Ideco UTM веб-приложения от различного вида атак (включая атаки SQLi, XSS, DoS, идругие).

Для наибольшей защиты вашего веб-сайта рекомендуется:

Опубликовать веб-сайт с помощью обратного прокси-сервераПри публикации установить галочку " "Включить Web Application Firewall

Данный модуль производит синтаксический анализ запросов к сайту и блокирует атаки на уязвимые компоненты веб-приложения (в частноститипы атак, входящие в ).OWASP TOP-10При активации данного модуля также будут блокироваться злоумышленники, ведущие сканирование сайта на уязвимости, с помощью модулязащиты от брутфорс-атак.

Для дополнительной защиты веб-сайта рекомендуется также активировать , включив в ней следующиесистему предотвращения вторженийгруппы правил:Атаки на web-приложения (блокирует атаки на основе регулярно обновляющегося списка сигнатур)Черный список IP-адресов (блокирует злоумышленников на основе регулярно обновляющейся базы IP Reputation)

Протестированные CMS

При публикации Outlook Web Access не включайте Web Application Firewall. Их совместная работа будет возможна в следующих версиях.

Доменные имена, указываемые в "Домен и путь", должны резолвиться во внешний IP сервера UTM.Доменные имена, указываемые в "Назначение", должны резолвиться в IP-адреса публикуемых ресурсов самим сервером UTM.

https://youdomain/

https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project

На данный момент нами протестирована и официально поддерживается публикация сайтов на двух популярных CMS: Joomla и Wordpress. Подробностипубликации каждой CMS описаны ниже.

Joomla

Joomla в текущей реализации публикуется, если настроить перенаправление с внешнего домена на локальный домен, без префикса.

Ассоциировать с внешним адресом UTM дополнительное доменное имя специально для публикации Joomla: joomla.mydomain.ruНастроить правило публикации порт не обязателен. joomla.mydomain.ru , joomla.local:port

Wordpress

Wordpress в текущей реализации публикуется только в конфигурации, когда в wordpress и в обратном прокси настроен один и тот же домен:

Для домена компании добавить A-запись указывающую на внешний IP-адрес UTM.wordpress.mydomain.ruНа UTM, в настройках DNS сервера с помощью master-зоны или hosts настроить резолв в адрес сервера сwordpress.mydomain.ruwordpress в локальной сети.В локальном cервере, в админ-панели wordpress должен быть настроен домен на стандартном порту HTTP.wordpress.mydomain.ruДобавить в обратный прокси правило публикации ➔ wordpress.mydomain.ru wordpress.mydomain.ru

DNS

Сервер DNS играет одну из важнейших ролей в работе сети Интернет: он преобразует человеко-читаемые имена серверов в IP-адреса. В состав IdecoUTM входит полнофункциональный DNS-сервер, не требующий дополнительной настройки для работы базовой функциональности. В частности, еслипровайдер не выдал DNS-серверы вашему шлюзу, или они не работают, или вас не устраивает их работа, то разрешение доменных имен в сети Интернетбудет возможно даже в случае, если DNS-сервера не указаны в настройках Ideco UTM.

Служба DNS на сервере Ideco UTM служит для нескольких целей и настраивается в одном разделе веб-интерфейса: . ПомимоСервер > DNS-сервер« »основного своего назначения - создания и обслуживания DNS-зон доменов (Вкладка ), служба DNS позволяет указать DNS-серверы воMaster-зоны« »внешних сетях, через которые принудительно будут разрешаться все имена в сети Интернет (Вкладка ), запрашиваемые«Внешние DNS-серверы»клиентами локальных сетей, обслуживаемых Ideco UTM. Традиционно, мы предоставляем возможность указывать hosts-записи на сервере Ideco UTM,доступные всем клиентам Ваших локальных сетей (Вкладка ) Также функциональность DNS-сервера была расширена возможностьюЗаписи hosts« » .указывать сторонние DNS-серверы (в локальных или внешних сетях относительно UTM) с указанием конкретных DNS-зон, которые эти сервераобслуживают (Вкладка ). Перечисленные возможности DNS-сервера не являются взаимоисключающими, дополняют друг друга и могутForward-зоны« »использоваться совместно, в зависимости от поставленных перед Вами задач. Рассмотрим все возможные стороны конфигурации службы DNSподробнее.

Внешние DNS-серверы

Для нормальной работы резолвинга имен в сети Интернет через Ideco UTM указывать DNS-серверы в этом разделе не требуется. Сервер будетразрешать имена в сети Интернет, используя корневые DNS-серверы при наличии подключения к Интернет. Также администратор может указатьDNS-серверы провайдера в этом разделе. DNS-серверы, полученные от провайдера, автоматически отображаются в подразделе DNS-серверы,«

. DNS-серверы, требующие явного указания, можно прописать в подразделе . Однаковыданные подключению» «DNS-серверы, заданные вручную»иногда, вне зависимости от полученных от провайдера DNS-серверов, возникает необходимость использовать для разрешения имен ресурсов сетиИнтернет только определенные DNS-серверы, игнорируя все остальные. Это может быть полезным при использовании фильтрации контента в сетиИнтернет на основе безопасных DNS-сервисов, например, .SkyDNS

В продукте имеется также возможность перехвата DNS-запросов на сторонние серверы, указанные пользователями на рабочих станциях с целью обходаблокировок web-ресурсов. Для её задействования необходимо включить признак (Перехватывать DNS запросы на серверы в Интернет« » см. окончание

).данной статьи

Master-зоны DNS

С помощью DNS-сервера Ideco UTM вы можете создавать master-зоны для вашей внутренней инфраструктуры. Master-зоны с настроенными в нихDNS-записями позволят вам использовать Ideco UTM как сервер имен внутри вашей сетевой инфраструктуры для обращения к IP-адресам хостов всети по доменным именам. Создавая, например, зону на сервере Ideco UTM и наполняя ее DNS-записями соответствия имен хостов в зоне .office .localих IP-адресам, вы получите полнофункциональный DNS-сервер, разрешающий имена (например ) в IP-адресах сетевых устройств вprinter.officeлокальной сети (например: ).172.16.15.10

DNS-сервер на Ideco UTM может выступать держателем master-зоны для вашего публичного домена, полученного у регистратора. Для этого вам нужносослаться на внешний публичный IP-адрес Ideco UTM (сервер UTM должен быть доступен в сети Интернет по публичному адресу) в настройках вашегодомена у регистратора с помощью записи " ". За подробностями по настройке NS-записи обратитесь к регистратору вашего публичного домена.NSПосле делегирования управления master-зоной Вашего публичного домена серверу Ideco UTM, вам следует создать master-зону, исходя из именивашего публичного домена (например ) и начать настраивать имена устройств в вашем домене в разделе master-зоны. Имейте в виду, чтоmetacortex.comмы не рекомендуем держать master-зоны для публичных доменов на собственных серверах и рекомендуем доверить этот сервис компаниям,специализирующимся на этом и гарантирующим постоянную доступность DNS-сервера, обслуживающего ваш публичный домен в сети Интернет.

Формат записей для настройки Master-зоны соответствует формату записей DNS-сервера BIND.

http://mydomain.ru

http://mydomain.ru

Forward-зоны

В этом разделе можно явно задать DNS-сервер для разрешения имен конкретной DNS-зоны. Указав DNS-сервер, доступный в сети и зону, которую онобслуживает, клиенты сети Ideco UTM получают возможность обращаться к ресурсам этой зоны по именам домена, обслуживаемого ей. Например,IT-отдел предприятия предоставляет ресурсы для сотрудников в зоне под именами , «.in.metacortex.com» realm1.in.metacortex.com sandbox.metacortex.co

и использует для этого DNS-сервер 10.10.10.10. Для возможности доступа к этим ресурсам по доменным именам укажите forward-зону провайдераmкак isp и далее задайте DNS-сервер 10.10.10.10 в подразделе .DNS-серверы, заданные вручную« »

Перехват DNS-запросов

В разделе вы можете включить опцию перехвата сервером UTM пользовательских DNS-запросов в Интернет на сторонние Внешние DNS-серверы« »DNS-серверы. Опция включается глобально для всех хостов в локальной сети, выходящих в Интернет через сервер UTM. Это позволяет избежатьвозможной подмены адреса ресурса при резолвинге его домена в целях обхода блокировок ресурсов в Интернет. Также перехват всех DNS-запросовпользователей позволит контролировать процесс резолвинга доменных имен в Интернет исключительно средствами UTM.

Перехваченный запрос будет направлен на DNS-сервер UTM, и хосту в локальной сети будет отдан IP-адрес запрашиваемого ресурса DNS-серверомUTM, а не сторонним DNS-сервером в Интернет. Также перехват DNS-запросов блокирует возможность туннелирования через DNS (DNS-tunneling).

Вы можете использовать следующие сторонние DNS-сервера, для дополнительной фильтрации трафика и ускорения работы интернет-ресурсов:

SkyDNS - .193.58.251.251 подробнееGoogle DNS 8.8.8.8, 8.8.4.4Open DNS 208.67.222.222, 208.67.220.220, 208.67.222.220, 208.67.220.222Cloudflare DNS 1.1.1.1, 1.0.0.1

DHCP

Для удобства настройки и администрирования сетевых устройств в локальной сети вы можете использовать DHCP-сервер, встроенный в интернет-шлюзIdeco UTM. DHCP-сервер используется для автоматического назначения IP-адресов сетевым устройствам в локальной сети. Интерфейс позволяетнастроить диапазон IP-адресов для автоматического назначения устройствам локальной сети, а также сформировать статические привязки IP-адресов кMAC-адресам этих устройств. Сетевые устройства в локальной сети должны быть настроены на автоматическое получение сетевых реквизитов отDHCP-сервера. В таком случае клиенты посылают широковещательный запрос в сегмент локальной сети, а сервер перехватывает и отправляет на этизапросы ответы, содержащие настройки для клиента.

Настроить DHCP можно для локальных интерфейсов, на которых необходимо раздавать IP-адреса. Настройки интерфейсов находятся в разделе Сервис.ы -> Интерфейсы

Настройка сервера

Как правило, сервер Ideco является шлюзом и DNS-сервером для всех сетевых устройств локальной сети, поэтому в большинстве случаев настройкаслужбы ограничивается определением диапазона IP-адресов. При необходимости могут быть заданы статические маршруты и адрес WINS-серверов.Перечень параметров DHCP-сервера представлен ниже.


Раздавать адреса поDHCP

Включение этой опции позволяет автоматически раздавать IP-адреса устройствам, находящимся в одном Ethernet-сегменте сданным локальным интерфейсом сервера.

Диапазон адресов Диапазон IP-адресов, выдаваемых компьютерам сети. Диапазон должен обязательно умещаться в сеть, указанную на локальноминтерфейсе. Например, если локальный интерфейс "192.168.0.1/255.255.255.0", то диапазон может быть"192.168.0.2—192.168.0.254".

Фиксированныепривязки IP к MACадресу

Формируются автоматически из настроек пользователей. Используйте авторизацию по IP с привязанным MAC-адресом внастройках пользователей в дереве пользователей и данным устройствам будут выданы статические IP-адреса.

Статическиемаршруты

Укажите список маршрутов, которые должны быть установлены на компьютерах пользователей. Из-за ограничений протоколамаршруты могут быть только для адресов с маской 32 (указывать маску в конфигурации не нужно).

WINS серверы Если в вашей сети используется сервер WINS или контроллер домена, то укажите их IP-адреса в этом списке.

В качестве DNS-сервера будет выдан IP-адрес локального интерфейса Ideco UTM.

Если вы настраиваете DHCP-сервер на Ideco UTM, то диапазон раздаваемых IP-адресов должен быть из одной сети с IP-адресом локального интерфейсасервера.

После настройки DHCP-сервера не забудьте сохранить настройки и применить настройки интерфейсов. Сервер начнет отвечать на запросы устройств влокальной сети о получении сетевых реквизитов. После чего можно приступить к настройке клиентских устройств.

Советы по настройке клиентов

Настройки конкретного устройства зависят от предлагаемого операционной системой интерфейса и возможностей. Как было упомянуто, не всеустройства поддерживают работу по протоколу DHCP, а некоторые из них предоставляют MAC-адрес с разделенными с помощью дефиса октетами. Внастройках сервера и в большинстве других устройствах октеты MAC-адреса разделяются двоеточиями. Поэтому будьте внимательны при согласованиинастроек клиентских устройств и DHCP-сервера на Ideco UTM.

Перед использованием службы определитесь с адресацией в локальной сети и типом авторизации пользователей перед. DHCP-сервер лучшеиспользовать для пользователей с типом авторизацией по PPTP или PPPoE. Это можно объяснить следующим образом: независимо от того, какой быIP-адрес не получило устройство, авторизация осуществляется по логину и паролю. В создаваемом VPN-туннеле используются свои адреса, независящие от логина пользователя. IP-адрес сетевой карты не играет никакой роли при подключении к интернету. Для авторизации с помощью IdecoAgent и WEB ситуация аналогичная: IP-адрес сетевого устройства не влияет на ход авторизации. Для таких типов авторизации удобно использоватьDHCP-сервер для автоматического назначения адресов.

Туннельные протоколы VPN

В текущем подразделе рассматривается технологии построения защищенных каналов связи site-to-site и client-to-site VPN.

IPsec

Данный модуль предназначен для организации VPN по протоколу IPsec. Возможна организация site-to-site VPN между серверами Ideco UTM исторонними роутерами, а также подключение пользователей - cliet-to-site VPN.

Филиалы и главный офис

Данный тип соединения позволяет объединять локальные сети нескольких серверов Ideco UTM.

На локальном интерфейсе сервера Ideco UTM должен быть назначен статический IP-адрес, а не динамический, полученный по протоколуDHCP.

1. 2. 3.

4. 5.

1. 2. 3. 4. 5.

1. 2.

Данный тип соединения позволяет объединять локальные сети нескольких серверов Ideco UTM.

Особенности реализации технологии IPsec в Ideco UTM предполагают две роли использования Ideco UTM.

Главный офис: Ideco UTM должен иметь публичный адрес в сети Интернет и принимать подключения от других шлюзом Ideco UTM(Филиалы), сетевого оборудования, рабочих станций по сети Интернет (Удаленные пользователи)Филиал: Ideco UTM, подключающийся к и, как правило, не имеющий публичного адреса в сети Интернет. С другой стороны,главному офисуесли имеет публичный адрес, то к нему тоже можно подключать любые устройства.филиал

Настройка подключения между Филиалом и Главным офисом

Добавление и производится на вкладке в подразделах и раздела .Главных офисов Филиалов Настройки IPsec главный офис IPsec филиалы Сервер

Шаг 1. Создание подключения в Филиале

Сделать следующие настройки на Ideco UTM, расположенной в :филиале

Открыть раздел в веб-интерфейсе .Сервисы -> IPsec -> Филиалы -> Настройки филиалаНажать кнопку .Добавить главный офисЗаполнить поля:- Название .главного офиса- Внешний адрес : доменное имя или внешний IP-адрес Главного офиса, выданный провайдером.главного офиса- Локальная сеть : Введите IP-адрес подсети , которая будет доступна пользователям в в форматефилиала филиала главном офисе192.168.0.0/24.Нажать кнопку .СохранитьСкопировать содержимое поля и передать его в , к которому производится подключение.Настройки филиала главный офис

Шаг 2. Создание подключения в главном офисе

Сделать следующие настройки на Ideco UTM, расположенной в , к которому производится подключение:главном офисе

Открыть раздел .Сервисы -> IPsec -> Главный офис -> НастройкиНажать кнопку .Добавить филиалЗаполнить предлагаемые поля:- Название .филиала- Настройки : вставьте в это поле настройки, полученные из Филиала после выполнения шага 1.филиалаНажать кнопку .СохранитьСкопировать содержимое поля и передать его в , к которому производится подключение.Настройки главного офиса филиал

Шаг 3. Окончательная настройка филиала

Открыть раздел .Сервисы -> IPsec -> Филиалы -> НастройкиВыбрать нужный , нажать кнопку .главный офис РедактироватьВставить в поле текст настроек, полученный из Главного офиса.Настройки главного офисаНажать кнопку .СохранитьОткрыть раздел убедиться, что подключение к установлено.иСервисы -> IPsec -> Филиалы -> Подключения главному офису

Управление подключениями

На вкладке выводится статус настроенных подключений и кнопка для переподключения.ПодключенияНажатие кнопки в приведёт к разрыву существующего соединения, при этом сразу жеРазорвать подключение главном офисе филиалавтоматически произведёт переподключение.Нажатие кнопки в - разрывает существующее подключение к и открывает новое."Переподключение" филиале главному офису

Маршрутизация дополнительных сетей, находящихся за роутером в локальной сети UTM, через IPsec туннель.

IPsec-туннель может маршрутизировать через себя только IP-сети, добавленные на локальные интерфейсы UTM. Т.е. UTM должен непосредственноприсутствовать в этих сетях. Для этого надо:

Добавить свободный IP из сети, находящейся за роутером на локальный интерфейс UTM как дополнительный адрес с маской этой сети.На UTM надо создать маршрут в эту сеть через IP роутера (UTM, роутер и целевой хост будут в одной сети).

Перед тем как создавать подключение между и убедитесь, что в каждой из подключаемых сторон филиалом главным офисом, правил. Без этого установить подключение невозможно.ьно настроена временная зона

Перед настройкой IPsec нужно учесть, что для его работы все IP-подсети, участвующие в соединениях, включая сети главного офисаи всех , не должны пересекаться и, тем более, не должны совпадать.филиаловЕсли на Ideco UTM в настроено несколько локальных подсетей, для каждой подсети на данный момент нужно создатьфилиалеотдельное подключение к главному офису.Перед настройкой соединения нужно убедиться в том, что один из серверов имеет публичный ("белый") IP-адрес отинтернет-провайдера. Если окажется, что не имеет публичного IP-адреса, а имеет такой адрес, то ролиглавный офис филиалсерверов для этого соединения следует поменять местами.

1. 2. 3. 4.

1. 2.

3.

Добавить свободный IP из сети, находящейся за роутером на локальный интерфейс UTM как дополнительный адрес с маской этой сети.На UTM надо создать маршрут в эту сеть через IP роутера (UTM, роутер и целевой хост будут в одной сети).Если сетей несколько, то повторить шаги 2 и 3 для всех сетей, или агрегировать сети по бОльшей маске.На внешних и локальных интерфейсах, участвующих в прохождении пакетов, установить признак .Автоматический proxy arp

Подключение пользователей

Настройки для подключения пользователей (client-to-site VPN) описаны в следующей статье документации: подключение по VPN L2TP/IPsec.

Разрешить подключение удалённых пользователей по протоколу L2TP/IPsec

Перейдите в раздел .Сервисы -> IPsec пользователиОтметьте чекбокс . Снятие галочки отключает всех подключенных по L2TP/IPsec пользователей иРазрешить подключения пользователейделает их подключение невозможным.Смените PSK по умолчанию. - это строка, которую необходимо будет вводить в настройках подключения по L2TP/IPsec наPre-shared keyоконечных устройствах.

Подключение устройств

Данный раздел предназначен для описания вариантов подключения различных роутеров (Mikrotik, Zyxel Keenetic и др.) к Ideco UTM для организацииsite-to-site VPN с использованием протокола .IPsec IKEv2

Не описанные в данной инструкции устройства, как правило, можно подключить с использованием аналогичных настроек.

Список допустимых алгоритмов шифрования и хеширования, используемых в Ideco UTMПодключение Ideco UTM к MikroTik с использованием PSK

Настройка Ideco UTMНастройка Mikrotik

Подключение MikroTik к Ideco UTM с использованием PSKНастройка MikroTikНастройка Ideco UTM

Подключение Ideco UTM к MikroTik с использованием сертификатовНастройка Ideco UTM (начало настройки)Настройка MikroTikНастройка Ideco UTM (завершение настройки)

Подключение MikroTik к Ideco UTM по сертификатамНастройка MikroTik (начало настройки)Настройка Ideco UTMНастройка MikroTik (завершение настройки)

Список допустимых алгоритмов шифрования и хеширования, используемых в Ideco UTM

aes128 (aes-128-cbc)aes256 (aes-256-cbc)sha256sha384modp1536 (DH группа: 5)modp2048 (DH группа: 14)modp4096 (DH группа: 16)

Подключение Ideco UTM к MikroTik с использованием PSK

По данным шагам можно настроить подключение Ideco UTM к MikroTik, при наличии на MikroTik "белого" IP-адреса.

Если Ideco UTM стоит за NAT, то для работы с IPsec надо пробросить , и порты .500 1701 4500 UDPПри установке IPsec туннеля м/у серверами Ideco UTM (Филиалом и Главным офисом) всегда используется 256-битноеAES-шифрование, как очень надежное и распространенное.

При смене Pre-shared key все подключённые в данный момент удалённые пользователи будут отключены и подключиться более не смогут.Для восстановления возможности подключиться – укажите PSK который был настроен у удалённых пользователей.

При объединении сетей с помощью VPN локальные сети в разных офисов не должны пересекаться.

1. 2. 3.

4.

5. 6.

7.

8.

9. 10.

По данным шагам можно настроить подключение Ideco UTM к MikroTik, при наличии на MikroTik "белого" IP-адреса.


В Ideco UTM откройте вкладку и нажмите кнопку "Добавить подключение".Сервисы → IPSec → УстройстваВ поле " " укажите для подключения. Например, " ".Название подключения произвольное имя Подключение к Офиса в КалининградеВ поле " " необходимо выбрать " ", поскольку осуществляется подключение от .Тип подключения Исходящее UTM

В поле " " необходимо указать " ".Тип аутентификации PSK

В поле " " необходимо указать MikroTik-а.Адрес удаленного устройства внешний IP-адресВ поле " " будет сгенерирован случайный . Он потребуется, чтобы настроить подключение в -е.PSK PSK-ключ MikroTik

В поле " " необходимо перечислить все , которые будут доступны в -подключении, т.е.Домашние локальные сети локальные сети UTM IPSecбудут видны противоположной стороне.Все локальные сети UTM, которые у вас установлены по умолчанию, уже перечислены в этом поле. Вам нужно всего-лишь выбрать (путемнажатия на ), стоит ли включать эти сети, или нет.

В поле " " необходимо перечислить все , которые будут доступны в -подключении,Удаленные локальные сети локальные сети MikroTik-a IPSecт.е. будут видны противоположной стороне.После настроек нажмите кнопку " ".СохранитьВ списке подключений появится ваше новое подключение.

Настройка Mikrotik

Настройку -а можно осуществить стандартным способом, через либо консоль устройства.MikroTik GUI

Либо воспользовавшись нашими конфигурационными скриптами, сгенерированными по адресу: https://mikrotik.ideco.ru/

После генерации скрипта необходимо открыть раздел "System → Scripts", создать скрипт, вставить в него код, сгенерированный конфигуратором изапустить его.

После того как скрипт закончит свою работу, никаких дополнительных действий по настройке осуществлять не требуется.

https://mikrotik.ideco.ru/

1. 2. 3.

4. 5. 6. 7.

8.

9. 10.

1. 2. 3.


Подключение MikroTik к Ideco UTM с использованием PSK

По данным шагам можно настроить подключение MikroTik к Ideco UTM, при наличии на UTM "белого" IP-адреса.

Настройка MikroTik

Настройку -а можно осуществить стандартным способом, через либо консоль устройства.MikroTik GUI





В Ideco UTM откройте вкладку и нажмите кнопку "Добавить подключение".Сервисы → IPSec → УстройстваВ поле " " укажите для подключения. Например, " ".Название подключения произвольное имя Подключение к Офиса в ВолгоградеВ поле " " необходимо выбрать " ", поскольку осуществляется подключение к .Тип подключения Входящее UTM

В поле " " необходимо указать " ".Тип аутентификации PSKВ поле " " необходимо вставить , полученный от -a.PSK PSK-ключ MikroTikВ поле " " необходимо вставить (параметр в `/ip ipsec peers`).Ключ идентификации идентификатор MikroTik-а Key IDВ поле " " необходимо перечислить все , которые будут доступны в -подключении, т.е.Домашние локальные сети локальные сети UTM IPSecбудут видны противоположной стороне.Все локальные сети UTM, которые у вас установлены по умолчанию, уже перечислены в этом поле. Вам нужно всего-лишь выбрать (путемнажатия на ), стоит ли включать эти сети, или нет.

В поле " " необходимо перечислить все , которые будут доступны в -подключении,Удаленные локальные сети локальные сети MikroTik-a IPSecт.е. будут видны противоположной стороне.После настроек нажмите кнопку " ".СохранитьВ списке подключений появится ваше новое подключение.

Подключение Ideco UTM к MikroTik с использованием сертификатов

Подключение по сертификатам используется, как более безопасное, чем подключение по PSK, либо в случаях, когда устройство не поддерживает PSK.

Настройка Ideco UTM (начало настройки)

Откройте вкладку " ".Сервисы → IPSec → УстройстваВ поле " " укажите для подключения. Например, " ".Название подключения произвольное имя Подключение к Офиса в ЕкатеринбургеВ поле " " необходимо выбрать " ", поскольку осуществляется подключение от .Тип подключения Исходящее UTM


3.

4.

5. 6.

7.

В поле " " необходимо указать " ".Тип аутентификации Сертификат

В поле " " необходимо указать MikroTik-а.Адрес внешний IP-адресВ поле " " будет сгенерирован на .Запрос на подпись сертификата запрос, который необходимо выслать для подписи MikroTik

После того, как запрос будет подписан, необходимо будет продолжить настройку подключения в Ideco UTM. Не закрывайте вкладку снастройками!

Настройка MikroTik

На данном этапе следует настроить MikroTik, чтобы продолжить настройку UTM.

Файл , полученный из а необходимо загрузить в файловое хранилище MikroTik-a.UTM.csr Ideco UTM-

Для этого нужно открыть раздел "File" и нажать на кнопку "Browse", выбрать файл и загрузить его..

После чего настройку IPsec в можно осуществить стандартным способом, через или консоль.MikroTik GUI



После того как скрипт закончит свою работу, в файловой системе MikroTik-а появятся два файла:


1. 2. 3.

Их необходимо скачать, чтобы впоследствии загрузить на UTM.

Файл вида " " - это .cert_export_device_<случайный набор символов>.ipsec.crt подписанный сертификат UTM-а

Файл вида " " - это .cert_export_mk_ca.crt корневой сертификат MikroTik-а

На этом настройку MikroTik-а можно считать завершенной.

Настройка Ideco UTM (завершение настройки)

8. В поле " " вставляется подписанный в MikroTik-e .Подписанный сертификат UTM... сертификат UTM-a9. В поле " " вставляется .Корневой сертификат, ... корневой сертификат MikroTik-а10. В поле " " необходимо перечислить все , которые будут доступны в -подключении, т.е. будутДомашние локальные сети локальные сети UTM IPSecвидны противоположной стороне.Все локальные сети UTM, которые у вас установлены по умолчанию, уже перечислены в этом поле. Вам нужно всего-лишь выбрать (путем нажатия на

), стоит ли включать эти сети, или нет.

11. В поле " " необходимо перечислить все , которые будут доступны в -подключении, т.е.Удаленные локальные сети локальные сети MikroTik-a IPSecбудут видны противоположной стороне.12. После настроек нажмите кнопку " ".Сохранить13. В списке подключений появится ваше новое подключение.

Подключение MikroTik к Ideco UTM по сертификатам

Подключение по сертификатам используется, как более безопасное, чем подключение по PSK, либо в случаях, когда устройство не поддерживает PSK.

Настройка MikroTik (начало настройки)

Настройку -а можно осуществить стандартным способом, через или консоль устройства.MikroTik GUI



Поскольку скриптов конфигуратором генерируется два, то и в -е также нужно создать два скрипта.MikroTik

Для начала настройки необходимо запустить первый скрипт. После того, как он завершит работу, в файловом хранилище -а появятся дваMikroTikфайла:

Необходимо их оба скачать, поскольку они требуются для дальнейшей настройки.

Файл " " - .certificate-request.pem запрос на подпись сертификатаФайл " " - .certificate-request_key.pem приватный ключ

После чего потребуется подписать в Ideco UTM, поэтому перейдем к его настройке.запрос на подпись


Откройте вкладку " ".Сервисы → IPSec → УстройстваВ поле " " укажите для подключения. Например, " ".Название подключения произвольное имя Подключение к Офиса в МосквеВ поле " " необходимо выбрать " ", поскольку осуществляется подключение к .Тип подключения Входящее UTM


3.

4.

5. 6.

7. 8. 9.

10.

В поле " " необходимо указать " ".Тип аутентификации Сертификат

В поле " " необходимо вставить .Запрос на подпись сертификата запрос на подпись, полученный от MikroTik-аВ поле " " необходимо перечислить все , которые будут доступны в -подключении, т.е.Домашние локальные сети локальные сети UTM IPSecбудут видны противоположной стороне.Все локальные сети UTM, которые у вас установлены по умолчанию, уже перечислены в этом поле. Вам нужно всего-лишь выбрать (путемнажатия на ), стоит ли включать эти сети, или нет.

После настроек нажмите кнопку " ".СохранитьВ списке подключений появится ваше новое подключение.Нажмите на кнопку редактирования соединения, чтобы продолжить настройку.

После нажатия кнопки появится область редактирования настроек подключения.Необходимо скачать файлы, которые находятся в полях " " и " ", для их последующего использования вСертификат UTM Сертификат устройстваMikroTik-е.

Настройка MikroTik (завершение настройки)

Файл , полученный от UTM, необходимо открыть в текстовом редакторе (например – блокноте). В конец файла необходимо вставитьdevice.crt

Файл , полученный от UTM, необходимо открыть в текстовом редакторе (например – блокноте). В конец файла необходимо вставитьdevice.crtсодержимое файла , полученного от MikroTik-а и сохранить изменения.certificate-request_key.pem

В результате файл должен иметь такую структуру:device.crt

Т.е. блок с сертификатом сверху, блок с приватным ключом - снизу.

Следующим шагом в файловую систему MikroTik-а необходимо загрузить файлы и (измененный), полученные из Ideco UTM. utm.crt device.crt

Для этого нужно открыть раздел "File" и нажать на кнопку "Browse", выбрать один из файлов и загрузить его. А затем также загрузить и второй.

После чего, перейдя в раздел со скриптами ("System → Scripts"), запустить второй скрипт настройки.


На этом настройку IPSec-соединения можно считать завершенной.

OpenVPN

Эта технология построения защищенных каналов связи часто применяется в корпоративных сетях для связи территориально удаленных офисовпредприятия в единую информационную инфраструктуру, обеспечивая обмен информацией между объединяемыми сетями. Возможна настройкашифрованного туннеля с использованием сертификата сервера и публичного ключа для подключения клиентов.

Ideco UTM может подключаться по открытому ключу, загруженному на него с другого сервера, или авторизовать клиентов, используя открытые ключи,созданные им самим. Таким образом, возможна как выдача сервером собственных публичных ключей, так и подключение к удаленным серверам,используя сгенерированный ими публичный ключ. В настройке туннеля участвуют два сервера, как правило, являющиеся шлюзами в сеть Интернет излокальной сети предприятия. Инициировать создание туннеля по технологии OpenVPN может любая из сторон, аутентификация соединения при этомпроисходит на сервере путем проверки предоставленного клиентом ключа с сертификатом сервера.

Перед настройкой сетевых интерфейсов нужно убедиться в том, что оба сервера имеют публичный IP-адрес от интернет-провайдера.

Туннель может быть организован как между двумя серверами Ideco UTM, так и между Ideco UTM и другим сетевым устройством, поддерживающемOpenVPN с аутентификацией по публичным ключам.

Организация туннеля между двумя серверами Ideco UTM

Рассмотрим настройки интерфейса для сервера в центральном офисе, к которому будут подключаться устройсва из других офисов. Для настройкитуннеля перейдите в меню и создайте новый интерфейс нажатием на кнопку . Выберите тип интерфейса .Сервер -> Интерфейсы "Добавить" "OpenVPN"Меню выбора подключения по OpenVPN представлено на фрагменте экрана ниже.

После создания интерфейса необходимо его настроить. Для этого нам предстоит определить все параметры, описанные в этой таблице.


Имяинтерфейса

Кратко опишите назначение интерфейса в инфраструктуре вашей сети.

Включен Отметьте для того чтобы активировать интерфейс.

ВнешнийIP-адрес

Укажите внешний публичный адрес этого сервера.

Локальныйпорт

Укажите UDP-порт для установления OpenVPN на стороне этого сервера.

Удалённаялокальнаясеть

Укажите адрес локальной сети удалённого сервера. В зависимости от этого адреса автоматически пропишется маршрут.

УдаленныйвнешнийIP-адрес

Укажите публичный IP-адрес удаленного сервера, с которым нужно организовать защищенный канал связи.

Удалённыйпорт

Укажите UDP-порт для установления OpenVPN на стороне удалённого сервера.

Сгенерироватьключ

Сгенерируйте публичный ключ, если удаленные сервера должны подключаться к этому серверу. Как правило, центральный офиспредоставляет публичные ключи для подключения удаленных офисов к нему по этому ключу, а удаленные офисы используют ключглавного сервера для подключения к серверу по этому ключу.

RSA-ключ втекстовойформе

Позволяет скопировать содержимое ключа в текстовой форме и отправить его администратору удалённого сервера по ICQ, почте ит.д.

Скачать ключ Позволяет сохранить публичный ключ этого сервера на локальной машине для дальнейшей передачи на удаленный сервер. Вдальнейшем удаленный сервер будет подключаться к этому серверу по выданному ему ключу. Как правило, используется вцентральном офисе. Выгрузите ключ для дальнейшей передачи его на сервер в удаленном филиале.

Отправитьключ

Используется для помещения публичного ключа удаленного сервера на этот сервер для дальнейшего подключения к удаленнойстороне по этому ключу. Как правило, используется в филиалах. Так как мы настраиваем подключение в головном офисе, то мы несохраняем на него сторонние ключи, предназначенные для подключения клиентов.

Форма настройки интерфейса для сервера в центральном офисе показана ниже.

Сохраняем настройки интерфейса в головном офисе, нажав кнопку ."Сохранить"

Настройки интерфейса OpenVPN на сервере в удаленном офисе будут отличаться тем, что значения параметров локальной сети и параметровудаленной сети нужно будет симметрично поменять местами, а также поместить на удаленный сервер публичный ключ, сгенерированный на сервереголовного офиса ранее. Форма настройки интерфейса для сервера в удаленном офисе представлена на фрагменте ниже.

После сохранения настроек необходимо выполнить перезагрузку обоих серверов, в результате туннель между ними должен установиться.

Также для корректного функционирования OpenVPN-туннеля необходимо настроить некоторые параметры. Для этого в web-интерфейсе перейдите вменю и выполните следующие действия:Серисы -> Дополнительно

отключите проверку обратного пути (RP_FILTER).

Проверить это можно по индикатору состояния OpenVPN интерфейса. Маршруты между локальными сетями настраиваются автоматически, еслиправильно заполнено поле на обоих серверах."Удалённая локальная сеть"

После проведения этих настроек выполните перезагрузку UTM и запустите openvpn сервер на удаленном роутере. Если настройки указаны верно,туннель должен установиться, маршруты между локальными сетями прописаться в таблицах маршрутизации обоих серверов. Клиенты обоих сетейдолжны стать доступны друг другу по сети.

Если на одном конце нет внешнего публичного адреса, воспользуйтесь другим типом VPN-подключений, например .IPsec

К одному Ideco UTM можно подключить несколько серверов по OpenVPN, но в этом случае на каждом новом соединении надо

1.

2. 3.

4.

Организация point-to-point (peer-to-peer, p2p) туннеля м/у Ideco и сторонним open vpn сервером

Ideco UTM может быть подключен к удаленному unix-подобному openvpn серверу в режиме p2p с использованием pre-shared-key (PSK). Для этогонужно:

Создать и настроить openvpn интерфейс на UTM, заполнив все параметры подключения. В поле "Удаленный туннельный IP-адрес" следуетуказать адрес openvpn сервера в туннеле, в данном примере это 172.16.0.2. Это не адрес на сетевой карте удаленного сервера, а адрес серверавнутри создаваемого м/у серверами туннеля. Адрессацию для устройств (UTM, openvpn сервер) выберите самостоятельно. Туннельная сетьдолжна отличаться от сетей на интерфейсах ideco и от сети за openvpn-сервером. В этой статье подключение описано на примересети 172.16.0.0/24.Сгенерируйте PSK ключ на UTM и скопируйте его. Позже он будет использован при настройке openvpn-сервера.Для openvpn сервера создайте конфигурационный файл, примерно следущего содержания :

mode p2pdev tunifconfig 172.16.0.1 172.16.0.2local <local external ip>remote <ideco external ip>secret /etc/openvpn/keys/static.keyport 1194proto udpkeepalive 10 120ping-timer-rempersist-tunpersist-keycomp-lzoroute <ideco local network address> <ideco local network mask>max-clients 8user nobodygroup nobodydaemonverb 4status /var/log/openvpn-status.loglog /var/log/openvpn.log

Параметры , , и отредактируйте в соответствии с вашими настройками сетей.ifconfig local remote routeСкопированный с UTM PSK ключ поместите в /etc/openvpn/keys/static.key.

PPTP VPN

По-возможности используйте более надежный протокол для подключения филиалов - IPsec. Подробности по настройке: подключение устройств по.IPsec

Вы можете объединить в единую сеть удаленные офисы и филиалы предприятия. Для этого в каждом офисе должен быть установлен шлюз безопасностиIdeco UTM, между которыми устанавливаются VPN-соединения по протоколу PPTP.Процесс настройки состоит из двух этапов:

Подготовка сервера и конфигурирование локальных сетей.Создание VPN-туннелей и настройка маршрутизации.

Подготовка интернет-шлюза и конфигурирование локальных сетей

Для объединения локальных сетей офисов вам необходимо обеспечить в них уникальность пространства IP-адресов. В каждом офисе должна быть своя

уникальная сеть. В противном случае, при создании VPN-туннеля вы можете столкнуться с некорректной работой маршрутизации.

К одному Ideco UTM можно подключить несколько серверов по OpenVPN, но в этом случае на каждом новом соединении надоменять порты.

Конфигурация OpenVPN с использованием стороннего оборудования и программного обеспечения не является сопровождаемым случаем.

уникальная сеть. В противном случае, при создании VPN-туннеля вы можете столкнуться с некорректной работой маршрутизации.

В нашем примере мы рассмотрим объединение сетей двух офисов. Настройте вашу сеть и шлюз безопасности Ideco UTM в соответствии с данными,описанными в таблице ниже.

Параметр Офис №1 Офис №2

Пространство IP-адресов IP-адрес: 192.168.0.0Маска сети: 255.255.255.0

IP-адрес: 192.168.1.0Маска сети: 255.255.255.0

Локальный IP-адрес сервера Ideco UTM IP-адрес: 192.168.0.1Маска сети: 255.255.255.0

IP-адрес: 192.168.1.1Маска сети: 255.255.255.0

Защищенный IP-адрес сервера Ideco UTM IP-адрес:10.128.0.0 (защищенный адрес Ideco UTM по умолчанию) IP-адрес: 10.129.0.0

Для корректного функционирования VPN-соединения нужно включить два параметра в разделе web-интерфейса :Сервисы -> Дополнительно

разрешите VPN-соединения из Интернет.отключите проверку обратного пути (RP_FILTER).

Форма настройки параметров VPN-соединения показана ниже.

После настройки нажмите кнопку и выполните перезагрузку интернет-шлюза."Сохранить"

Создание VPN-туннелей и настройка маршрутизации

Настройка интернет-шлюза Ideco UTM в офисе №1

Необходимо выполнить следующие действия:

Создать учетную запись пользователя, например office2, от имени которой сервер Ideco UTM в офисе №2 будет осуществлять подключение ксерверу Ideco UTM в офисе №1.

серверу Ideco UTM в офисе №1.Разрешить созданной учетной записи удаленное подключение из Интернет, а также убедиться в том, что ей назначен IP-адрес из адресногопространства офиса №1 (например, 10.128.0.10).Добавить маршруты в таблицу маршрутизации. Для этого в web-интерфейсе перейдите в меню иСервер -> Сетевые параметры -> Маршрутынажмите кнопку . На экране появится форма добавления маршрута, которая приведена на фрагменте ниже. Укажите необходимые"Добавить"значения и нажмите кнопку . Нам необходимо добавить следующие маршруты:"Сохранить"192.168.1.0/255.255.255.0 10.128.0.1010.129.0.0/255.255.0.0 10.128.0.10

Настройка интернет-шлюза Ideco UTM в офисе №2

Необходимо выполнить следующие действия:

Создать новый интерфейс типа PPTP. В качестве роли используйте Local, а в качестве внешнего IP-адреса – внешний адрес интернет-шлюзаIdeco UTM в офисе №1. В качестве логина используйте имя учетной записи, которая была создана на сервере в офисе №1 (в нашем примере –office2). Обязательно установите чекбокс ."Шифрование MPPE"

Добавить маршруты в таблицу маршрутизации. Для этого в web-интерфейсе перейдите в меню и нажмите кнопку Сервисы -> Маршруты "Доба. На экране появится форма добавления маршрута, которая показана на фрагменте ниже. Укажите необходимые значения и нажмитевить"

кнопку . Нам необходимо добавить следующие маршруты:"Сохранить"

192.168.0.0/255.255.255.0 4

192.168.0.0/255.255.255.0 410.128.0.0/255.255.0.0 4Где 4 – идентификатор созданного PPTP-интерфейса (в вашем случае он может быть другим).

После добавления маршрутов необходимо применить их нажав кнопку "Применить" вверху страницы с маршрутами.

Подключение к серверу из сети Интернет по VPN

Для того чтобы получить доступ извне (из дома, отеля, другого офиса) к локальной сети предприятия, которая находится за Ideco UTM, можноподключиться по VPN с этой машины (компьютера или мобильного устройства) к серверу Ideco UTM.

Для clien-to-site VPN наш сервер поддерживает два протокола туннельных соединений PPTP и L2TP/IPsec.

Сравнение особенностей этих протоколов можно прочитать в . Рекомендуется при поддержке этого протокола со стороны подключаемогостатьеклиента, использовать L2TP/IPsec.

Инструкции по настройке сервера и клиентов:

Подключение VPN PPTP

Подключение по VPN L2TP/IPsec

Подключение VPN PPTP

Настройка глобальных параметров Ideco UTMНастройка аккаунта для подключения по VPN

Возможные неполадкиЕсли по VPN необходим доступ только к ресурсам локальной сетиЕсли не удается получить доступ к компьютерам в локальной сети Ideco UTM

Настройка глобальных параметров Ideco UTM

Сервисы -> Авторизация пользователей -> Авторизация по PPTP

http://ideco.ru/products/ics/specifications/vpn

Сервисы -> Интерфейсы -> Выбрать нужный локальный иттерфейс -> Автоматический Proxy Arp

Сервисы -> Дополнительно -> Разрешить VPN-соединения из Интернет

После включения или выключения этого параметра необходимо произвести для применения изменений.перезагрузку сервера

Настройка аккаунта для подключения по VPN

Создайте пользователя с авторизацией по VPN или измените существующего, включив в настройках пользователя следующие пункты:

Пользователи -> Нужный пользователь -> вкладка Общие -> Разрешить VPN из Интернет

Пользователи -> Нужный пользователь -> вкладка Общие -> Тип авторизации : VPN, PPTP, PPPoE

Не забудьте сделать в веб-интерфейсе сервера перед его подключением. Так же желательно убедиться, что пользователем можнопроверку пользователяподключиться к серверу из локальной сети.

При настройке подключения по VPN из сети Интернет, в свойствах VPN-подключения надо указывать:

внешний адрес Ideco UTM в качестве VPN-сервералогин и пароль созданного пользователяшифрование MPPE, протокол авторизации - только MSCHAPV2

После подключения вы будете авторизованы на сервере Ideco UTM от имени созданного пользователя и вам будут доступны сетевые хосты в локальнойсети предприятия.

Возможные неполадки

Часто бывает что провайдер со стороны шлюза или со стороны подключаемого клиента не пропускает GRE-протокол, с помощью которогопроисходит PPTP-соединение. В таком случае при попытке подключиться на внешний адрес Ideco UTM будет получена .ошибка 619

Определить с какой стороны проблема с прохождением GRE можно, подключаясь с разных мест, от разных провайдеров. Если из некоторых

Если вы не хотите чтобы после подключения по VPN интернет-трафик до внешних ресурсов ходил через Ideco UTM, то свойствахVPN-подключения: "Сеть/Протокол интернета TCP/IP версии 4/Дополнительно" снимите признак Использовать основной шлюз в удаленнойсети. Далее чтобы получить доступ к компьютерам за Ideco UTM, вручную пропишите маршруты.

Определить с какой стороны проблема с прохождением GRE можно, подключаясь с разных мест, от разных провайдеров. Если из некоторыхмест удастся подключиться, значит проблема со стороны тех клиентов, которые не могут подключиться. Когда провайдер будет определен, тонужно попытаться решить проблему с ним, либо использовать Подключение по VPN L2TP/IPsecЗаблокирован порт 1723 TCP. Проверить доступность порта можно с помощью стандартных сетевых утилит, таких как telnet. Если соединенияна этот порт нет, то туннель не может быть установлен. Прежде всего нужно проверить что на сервере включен пункт Разрешить

, затем пробовать выяснять причины недоступности порта у провайдера.VPN-соединения из ИнтернетНеправильно указан логин или пароль пользователя. Когда такое происходит то часто при повторном соединении предлагается указать домен.Старайтесь создавать цифробуквенные пароли, желательно на латинице для ваших учетных записей.Если подключение осуществляется с Windows, то для того, чтобы пакеты пошли через него надо убедиться, что в настройках этогоподключения стоит чекбокс: "Свойства подключения VPN - Вкладка "Сеть" - Свойства опции "Протокол Интернета версии 4 (TCP/IPv4)" -Дополнительно - Использовать основной шлюз в удалённой сети". Если же маршрутизировать все пакеты в этот интерфейс не обязательно, томаршрут надо писать вручную.При возникновении ошибки "Подключение было закрыто удаленным компьютером" необходимо включить поддержку MPPE 128-bit (ВWindows эта опция включена по умолчанию) и среди протоколов аутентификации отмечать только MSCHAPV2.

Если по VPN необходим доступ только к ресурсам локальной сети

В случае, если в Интернет необходимо выходить напрямую через своего провайдера, а через VPN получать доступ только к ресурсам корпоративнойсети, на компьютерах, подключающихся по VPN необходимо выполнить следующие настройки.

В свойствах VPN-подключения убрать флажок "Использовать основной шлюз в удаленной сети. Вкладка Сеть - IP версии 4 - Дополнительно -Параметры IP.

Убедитесь, что локальная сеть (или адрес на сетевой карте) на удалённой машине не пересекается с локальной сетью вашей организации, еслипересекается, то доступа к сети вашей организации не будет (трафик по таблице маршрутизации пойдёт в физический интерфейс, а не вVPN). Адресацию надо менять.

Прописать маршрут до корпоративной сети.Например, если корпоративная сеть 10.0.0.1/16, а защищенный IP-адрес Ideco UTM 10.128.0.0 (и из этой же сети выдается IP-адресVPN-подключению), то маршрут будет таким:route -p add 10.0.0.1 mask 255.255.0.0 10.128.0.0

Если не удается получить доступ к компьютерам в локальной сети Ideco UTM

Убедиться, что компьютеры в локальной сети, к которым необходим доступ, авторизованы на Ideco UTMНа компьютерах локальной сети в качестве основного шлюза должен быть прописан Ideco UTM. Если это не так, то необходимо прописатьсоответствующий маршрут вручную на устройствах, чтобы сетевые пакеты шли на Ideco UTM для VPN-сети.Отключить RP-FILTER: Сервисы -> Дополнительно -> Проверка обратного пути (RP_FILTER)

Подключение по VPN L2TP/IPsec

Настройка глобальных параметров Ideco UTMНастройка аккаунта для подключения по VPN

Настройка подключения к серверу в Windows 7 и Windows 8.Возможные неполадкиЕсли по VPN необходим доступ только к ресурсам локальной сети

Настройка глобальных параметров Ideco UTM

В административном веб-интерфейсе включите следующие параметры в соответствующих разделах:

Сервисы -> Дополнительно -> Разрешить VPN-соединения из Интернет

Сервисы -> IPsec -> Пользователи -> Разрешить подключения пользователей

Укажите секретную фразу (PSK ключ)

После включения или выключения этого параметра необходимо произвести для применения измененийперезагрузку сервера

Настройка аккаунта для подключения по VPN

Создайте пользователя с авторизацией по VPN или измените существующего, включив в настройках пользователя следующие пункты:

Пользователи -> Нужный пользователь -> вкладка Общие -> Дополнительно -> Разрешить VPN-соединения из интернет

Пользователи -> Нужный пользователь -> вкладка Общие -> Авторизация : Выбрать тип авторизации по VPN

Не забудьте сделать в веб-интерфейсе сервера перед его подключением. Так же желательно убедиться, что пользователем можнопроверку пользователяподключиться к серверу из локальной сети.

При настройке подключения по VPN из сети Интернет, в свойствах VPN-подключения надо указывать:

внешний адрес Ideco UTM в качестве VPN-сервера

1.

2.

3.

внешний адрес Ideco UTM в качестве VPN-сервералогин и пароль созданного пользователяPSK (pre-shared key) - ключ, указанный на странице Сервер - IPsec пользователи.включить шифрование соединения

После подключения вы будете авторизованы на сервере Ideco UTM от имени созданного пользователя и вам будут доступны сетевые хосты в локальнойсети предприятия.

Настройка подключения к серверу в Windows 7 и Windows 8.

Центр управления сетями и общим доступом - Создание и настройка нового подключения или сети.

Подключение к рабочему месту.

Использовать мое подключение к Интернету (VPN).

Если вы не хотите чтобы после подключения по VPN интернет-трафик до внешних ресурсов ходил через Ideco UTM, то свойствахVPN-подключения Сеть/Протокол интернета TCP/IP версии 4/Дополнительно уберите галочку Использовать основной шлюз в удаленнойсети. Далее чтобы получить доступ к компьютерам за Ideco UTM, вручную пропишите маршруты.

3.

4. Введите адрес сервера (доменное имя или внешний IP-адрес Ideco UTM) и название подключения.

4.

5. Перейдите к Свойствам данного подключения.

5.

6. На вкладке "Безопасность" установите следующие параметры:

6.

7. Нажмите кнопку "Дополнительные параметры", и введите общий ключ (PSK-ключ).

7.

Возможные неполадки

Неправильно указан логин или пароль пользователя. Когда такое происходит то часто при повторном соединении предлагается указать домен.Старайтесь создавать цифро-буквенные пароли, желательно на латинице для ваших учетных записей. Если есть сомнения в этом пункте товременно установите логин и пароль пользователю "user" и "123456" соответственно.Если подключение осуществляется с Windows, то для того, чтобы пакеты пошли через него надо убедиться, что в настройках этогоподключения стоит чекбокс: "Свойства подключения VPN - Вкладка "Сеть" - Свойства опции "Протокол Интернета версии 4 (TCP/IPv4)" -Дополнительно - Использовать основной шлюз в удалённой сети". Если же маршрутизировать все пакеты в этот интерфейс не обязательно, томаршрут надо писать вручную.

маршрут надо писать вручную.

Если по VPN необходим доступ только к ресурсам локальной сети

В случае, если в Интернет необходимо выходить напрямую через своего провайдера, а через VPN получать доступ только к ресурсам корпоративнойсети, на компьютерах, подключающихся по VPN необходимо выполнить следующие настройки.

В свойствах VPN-подключения убрать флажок "Использовать основной шлюз в удаленной сети. Вкладка Сеть - IP версии 4 - Дополнительно -Параметры IP.

Прописать маршрут до корпоративной сети.Например, если корпоративная сеть 10.0.0.0/16, а защищенный IP-адрес Ideco UTM 10.128.0.0 (и из этой же сети выдается IP-адресVPN-подключению), то маршрут будет таким:route –p add 10.0.0.0 mask 255.255.0.0 10.128.0.0

Дополнительно

Убедитесь, что локальная сеть (или адрес на сетевой карте) на удалённой машине не пересекается с локальной сетью вашей организации, еслипересекается, то доступа к сети вашей организации не будет (трафик по таблице маршрутизации пойдёт в физический интерфейс, а не вVPN). Адресацию надо менять.

Если не удается получить доступ к компьютерам в локальной сети Ideco UTM, то попробуйте отключить RP-FILTER: Сервисы ->Дополнительно -> Проверка обратного пути (RP_FILTER)

Дополнительно

Настройка дополнительных параметров работы сервера

Настройка осуществляется через веб-интерфейс в разделе Сервисы ➔ Дополнительно« »

Email администратора - на указанный адрес будут отправляться уведомления об инцидентах безопасности на сервере, оповещения обобновлениях и журналы изменений (changelog) по успешном завершении каждого из обновлений.IP-адрес компьютера администратора - при указании IP-адреса в этом поле, доступ в веб-интерфейс управления Ideco UTM будет возможентолько с указанного адреса.Защищенный IP-адрес сервера - используется для установления с сервером защищенных туннельных соединений, например, VPN поPPTP/L2TP.Ограничить количество TCP и UDP сессий с одного адреса - ограничивает количество соединений для пользователей и внешних подключений.При использовании сервера терминалов с большим количеством пользователей, рекомендуется увеличить количество сессий из локальной сетидо 1000-1500, иначе некоторые соединения от пользователей могут быть разорваны.Разрешить VPN-соединения из Интернета - разрешает пользователям подключаться по VPN из сети Интернет ( должна бытьнастройка доступауказана и у пользователя).Проверка обратного пути (RP_FILTER) - проверять обратный путь проходящих пакетов. Ответные пакеты должны направляться в тот жеинтерфейс, из которого поступил запрос.Разрешить доступ к серверу из локальной сети по SSH– Разрешить подключения к серверу по SSH. Эта опция необходима для удаленногообслуживания сервера и .удаленного доступа к меню

Защита от bruteforce-атак

Интегрированный модуль fail2ban блокирует попытки злоумышленников подобрать пароль к сервисам SSH, веб-интерфейсу администратора,VPN-подключения, SMTP, IMAP, POP3 и веб-почте.

Модуль не настраивается в веб-интерфейсе.

Посмотреть логи работы службы можно в веб-интерфейсе во вкладке Мониторинг > Журналы > Служба защиты от подбора паролей.

Сбросить блокировки можно из локального меню шлюза: Сервис > Сбросить блокировки IP-адресов.

Доступ по SSH

Доступ к серверу в режиме SSH будет настраиваться в данном разделе начиная с версии 7.8.0.

Доступ к серверу в режиме SSH будет настраиваться в данном разделе начиная с версии 7.8.0.

Центральная консоль

В этом разделе описаны необходимые настройки для администрирования группы серверов Ideco UTM из Центральной Консоли управления.

Центральная консоль: о продуктеУстановка Центральной консолиНастройка подключения администратораНастройка подключения UTM к Центральной консоли

Центральная консоль: о продукте

Центральная Консоль - программное решение, позволяющее осуществлять централизованное управление серверами Ideco UTM, Ideco Selecta и IdecoPBX.

При этом из Центральной консоли возможно полное управление любым количеством серверов Ideco UTM, Ideco Selecta и Ideco PBX:доступ в административный веб-интерфейс с возможностью настройки параметров пользователей, конфигурирование, запуска и остановки системныхслужб, просмотра журналов служб, обновление, перезагрузки или выключения серверов.

Обзор возможностей

Возможности подключения серверов Ideco UTM

Количество подключенныхсерверов к Центральнойконсоли

В зависимости от аппаратных характеристик сервера Центральной консоли, возможно подключение к ней до 1000серверов Ideco UTM, Ideco Selecta и Ideco PBX.

Подключение серверов,находящихся за NAT-ом

Возможно подключение к Центральной консоли серверов Ideco UTM, Ideco Selecta и Ideco PBX, не имеющихбелого IP-адреса. Эта возможность не требует специальной настройки маршрутизации или других ограничений.

Защита подключений Все подключения серверов Ideco UTM к Центральной консоли осуществляются по зашифрованному VPN-каналу, сиспользованием IPsec IKEv2 и алгоритма шифрования AES 256.Подключение администратора к Центральной консоли также осуществляется по зашифрованному VPN-каналу сиспользованием IPsec и защищено от перехвата и изменения трафика.

Возможности по управлению серверами Ideco UTM

Настройкапользователейудаленных серверов

Веб-интерфейс Центральной Консоли предоставляет полные возможности по управлению (созданию, настройке, удалению)пользователями, подключенных к консоли удаленных серверов Ideco UTM, Ideco Selecta и Ideco PBX.

Управление службами Возможно полное управление службами: конфигурирование, запуск, остановка всех служб, подключенных к ЦентральнойКонсоли серверов.

Просмотр логов и аудитсобытий

Администратор Центральной Консоли может просматривать журналы служб, подключенных к консоли серверов, а такжежурналы аудита событий, действий администратора локального сервера.

Мониторинг удаленныхсерверов

Администратору Центральной Консоли доступны графики загруженности удаленных серверов, информация о версиииспользуемого ПО и сведения об обновлении модулей, а также сроке действия лицензий на них.

Технические требования

Поддержка процессоров X86-64

Минимальное количествооперативной памяти

2 Гб

Минимальный объемжесткого диска

60 Гб

Поддержка гипервизоров VMware ESX, Microsoft HyperV, VirtualBox, KVM, Citrix XenServer

Требования кпрограммномуобеспечению

Центральная консоль устанавливается и работает на СВТ, не требует наличия операционной системы или другого ПО.Управление и его настройка осуществляется через веб-браузер (поддерживаются браузеры Google Chrome,сервером Mozilla Firefox, Microsoft Internet Explorer 11).

Требования к среде работы Центральная Консоль предназначена для работы в TCP/IPv4 сетях ЭВМ.

Требования к персоналу Для конфигурирования, управления Центральной Консолью и осуществления ее технической поддержки не требуютсяспециальные знания и навыки, помимо базовых знаний сетевых технологий.

1.

2.

3.

Установка Центральной консоли

Скачать дистрибутив Центральной консоли можно по .ссылке

Дистрибутив представляет из себя ISO-образ диска. Перед установкой его на физический сервер необходимо записать его на cd-диск или USB-flash.

Загрузившись с диска или USB-flash в стандартном установщике ОС Debian выберите Install

В дальнейших шагах установки рекомендуется выбирать дефолтные параметры, но особое внимание обратите на пункт "Настройка времени",выберите необходимый вам часовой пояс.

После установки необходимо настроить сетевой интерфейс:

https://ideco.ru/obtain

3.

4.

1.

Установка завершена.

Настройка подключения администратора

В данном разделе описаны настройки, которые необходимо установить на компьютере администратора Центральной консоли.

При первом входе в веб-интерфейс Центральной консоли, Вы увидите следующую информацию:

1.

2.

Выполните действия, указанные в пунктах 1-3.Внимание! Пароль от Центральной Консоли нигде не хранится в открытом виде, поэтому его невозможно восстановить.После обновления страницы в веб-интерфейсе появится возможность скачивания сертификатов для подключения.

2.

3. 4.

5. 6. 7.

Скачайте сертификаты на локальный компьютер по ссылке "Скачать сертификат в виде файла".Импортируйте сертификат в хранилище "Личные" ("Personal").После импорта оба сертификата (CA и клиентский) будут располагаться в разделе "Личные".CA-сертификат необходимо переместить (перетащить мышкой в консоли управления сертификатами) в раздел "Доверенные корневые центрысертификации" ("Trusted Root Certifications Authorities").Далее нужно настроить подключение по IPSec до центральной консоли по .инструкцииУстановить IPsec-подключение до Центральной консоли.В веб-интерфейсе Центральной консоли нажмите "Перейти в консоль"Откроется окно интерфейса Центральной консоли:

Настройка подключения UTM к Центральной консоли

В данном разделе описаны настройки, которые необходимо выполнить на серверах UTM, управление которыми должно осуществляться из Центральной

https://wiki.strongswan.org/projects/strongswan/wiki/Win7Certs

https://wiki.strongswan.org/projects/strongswan/wiki/Win7Config

https://wiki.strongswan.org/projects/strongswan/wiki/Win7Connect

В данном разделе описаны настройки, которые необходимо выполнить на серверах UTM, управление которыми должно осуществляться из Центральнойконсоли.

Перед настройкой подключения необходимо получить у администратора Центральной консоли реквизиты для подключений:

IP-адрес Центральной консоли.Пароль для подключения.

Настройка подключения к Центральной консоли осуществляется в меню - -

Для подключения необходимо ввести следующие данные:

Введите название сервера - оно будет видно администратору Центральной Консоли.Адрес - IP-адрес сервера Центральной Консоли.Пароль - пароль для подключения (администратор Центральной Консоли может изменить его в веб-интерфейсе Центральной Консоли).

После подключения к Центральной Консоли в данном меню будет отображен статус подключения.

Отчеты

Настройка

Для доступа к отчетам нужно зайти в веб-интерфейс Ideco UTM и выбрать модуль " " в верхнем меню.Отчеты

Доступ к отчетам есть у "Главного администратора", а также у пользователей с правами "Технический администратор".

Отчетность по трафику доступна всегда. Отчетность при следующих условиях:по веб-активности

На странице "Отчеты" - "Веб-активность" - "Главная" должна быть поставлена галочка "Включить сбор статистики по веб-трафику"

На странице "Отчеты" - "Веб-активность" - "Главная" должна быть поставлена галочка "Включить сбор статистики по веб-трафику"Должен быть включен в прозрачном режиме для всех пользователей.прокси-серверДолжен быть включен (даже если вы не собираетесь ограничивать доступ пользователям к сайтам, он нужен для категоризацииконтент-фильтрсайтов в отчетах). В зависимости от того, стандартный или расширенный контент-фильтр используется, отчеты будут представлены поимеющимся в них категориям.

Исключение пользователей из отчетности

Исключить пользователя из отчетов по веб-активности, можно, если .исключить его IP-адрес из обработки прокси-сервером

Особенности работы

При переводе системного времени на UTM назад или вперёд а затем обратно, веб-статистика за конкретный период времени (которыйвключает переводы времени), в случае наличия трафика за этот период, будет посчитана некорректно. Это происходит из-за дублированиястатистики за один и тот же промежуток времени.Начиная с версии Ideco UTM 7.2 работа веб-отчетности возможна только на процессорах с поддержкой инструкций .SSE 4.2Имена удаленных из Ideco UTM пользователей в статистике не отображаются (статистика таких пользователей будет агрегирована впользователе "удаленный пользователь").

Интеграция UTM и SkyDNS

Настройка Ideco UTM для фильтрации трафика с помощью облачного сервиса SkyDNS

Чем это может быть полезно:

Защита от зараженных сайтовЗлоумышленники создают сайты, содержащие вредоносные скрипты, заражающие компьютеры. Также они взламывают хорошие сайты иустанавливают вредоносные скрипты на них. В контент‑фильтре Ideco UTM есть специальная категория для блокировки таких сайтов, такжетрафик может проверяться на вирусы на шлюзе, но дополнительная защита от этих угроз, тем более с помощью круглосуточно обновляемыхоблачных сервисов, не помешает.Защита от бот-сетейЗлоумышленники создают сети из чужих компьютеров для использования их в нелегальной деятельности: DDoS-атак серверов, рассылкиспама, похищения паролей от интернет-банков и сервисов и других целей. Для получения инструкций программа-бот подключается куправляющим серверам. DNS-фильтрация позволяет ограничить доступ к выявленным серверам для управления бот-сетями. Таким образом,даже если компьютер заражен вредоносной программой, злоумышленники не смогут им управлять.Защита от нежелательных сайтовSkyDNS предоставляет широкие возможности для настроек - больше 50 категорий сайтов. Все это может служить хорошим дополнением кстандартному и расширенному контент-фильтру, встроенному в Ideco UTM, для повышения качества фильтрации нежелательного контента.

При этом на пользователя не будут распространятся запрещающие правила контент-фильтра и его трафик не будет проверятьсяантивирусами для веб-трафика.

https://ru.wikipedia.org/wiki/SSE4

https://www.skydns.ru/

1.

2.

3.

SkyDNS предоставляет широкие возможности для настроек - больше 50 категорий сайтов. Все это может служить хорошим дополнением кстандартному и расширенному контент-фильтру, встроенному в Ideco UTM, для повышения качества фильтрации нежелательного контента.Что особенно важно, например, для образовательных учреждений, который должны обеспечивать качественную фильтрацию для исполнениясоответствующих законов.Соблюдение 139-ФЗ и 436-ФЗ "О защите детей от информации, причиняющей вред их здоровью и развитию"Сервис SkyDNS полностью соответствует требованиям Правил подключения общеобразовательных учреждений к единой системеконтент-фильтрации доступа к сети Интернет Министерства образования и науки РФ.Специально для школ и колледжей можно приобрести .комплект "Шлюз безопасности Ideco UTM + контент-фильтр SkyDNS"

Инструкция по настройке в Ideco UTM:

Прописать DNS-сервер SkyDNS ( ) в настройках DNS-сервера в Ideco UTM (Веб-интерфейс: Сервер - DNS).193.58.251.251

Для запрета обращения к другим DNS-серверам включить опцию перехвата DNS-запросов (если для всей сети обязательна фильтрация черезSkyDNS).В случае, если у вас внутри локальной сети или внутри сети провайдера, есть внутренняя dns-зона, не обслуживаемая внешними dns-серверами(например, есть домен Active Directory), нужно прописать ее в Forward-зонах.

https://www.skydns.ru/

https://ideco.ru/products/ics/academic-edition

3.

4.

5.

6.

7. 8.

На всех устройствах, которые требуется защитить, в качестве единственного DNS-сервера в сетевых настройках должен быть прописан IP-адреслокального интерфейса Ideco UTM.Пользователи, получающие адреса автоматически через DHCP-сервер Ideco UTM или подключающиеся по VPN, получают нужные настройкиавтоматически. Остальным нужно прописать их вручную (либо настроить нужные параметры на использующемся DHCP-сервере).В настройках запретить пользователям напрямую обращаться к сайтам по IP-адресу (например: ).контент-фильтра http://79.172.49.17/Создав правило:

Если провайдер предоставляет вам статический белый IP-адрес, то привяжите этот адрес к аккаунту SkyDNS в на сайтеличном кабинетеSkyDNS (в разделе ). - Настройка запрета доступа к сайтам по категориям, безопасного поиска и др. сервисов осуществляется через на сайте SkyDNS.личный кабинетЕсли вы хотите исключить некоторые компьютеры из фильтрации, пропишите на них другой внешний DNS-сервер (например 8.8.8.8), и не

включайте перехват DNS-запросов в настройках DNS-сервера Ideco UTM.

http://79.172.49.17/

https://www.skydns.ru/cabinet

https://www.skydns.ru/cabinet

8.

включайте перехват DNS-запросов в настройках DNS-сервера Ideco UTM.

Документация по настройке и активации сервиса SkyDNS

Документация доступна на сайте сервиса:

Активация системы по регистрационному кодуРуководства по настройке и использованию сервисаНастройка профилей и расписания фильтрации

По вопросам настройки сервиса можно обращаться .в техническую поддержку SkyDNS

Схема фильтрации веб-трафика при использовании SkyDNS

ОбслуживаниеТекущий раздел содержит информацию, касающуюся обслуживания сервера Ideco UTM.

Регистрация сервера

Клиентские лицензии имеют формат ID и токены. Для активации лицензии необходима обязательная регистрация сервера в .личном кабинете

Если версия вашего сервера UTM ниже 7.0.4, то сначала нужно обновить сервер на и зарегистрировать сервер и лицензию в п7.0.4 109 личном кабинетео этой инструкции. После этого станет доступным обновление на более новые версии.

Если вы обладаете регистрационным номером (старый формат лицензий), и делаете установку версии старше 7.0.4 с нуля, не обновляя старую версиюUTM, то необходимо получить лицензию нового формата, обратившись в отдел продаж: [email protected]

Личный кабинетРегистрация в личном кабинетеПросмотр информации о лицензияхУправление лицензиямиДобавление коммерческой лицензии


Личный кабинет

Личный кабинет позволяет пользователю получить информацию о имеющихся лицензиях, сроке окончания модулеmy.ideco.ru подписки на обновленияй и технической поддержки. С помощью личного кабинета также можно получить для редакции SMB.бесплатную лицензию

Требуется обязательная регистрация сервера в личном кабинете в том числе для получения 30-ти дневной пробной лицензии на Ideco UTM (она будетполучена автоматически при регистрации сервера).

Регистрация в личном кабинете

Зайдите на сайт личного кабинета и перейдите по ссылке "Зарегистрироваться".

Укажите свои личные данные и данные о компании. в личный кабинет и дляАдрес электронной почты будет использоваться в качестве логинавосстановления пароля.

Просмотр информации о лицензиях

В разделе Ideco UTM находится информация о зарегистрированных вами серверах и имеющихся лицензиях. Тестовую 30-ти дневную лицензию насервер можно получить автоматически при его регистрации.

Если вам необходимо использовать разные настройки фильтрации для разных компьютеров в сети за Ideco UTM, то для этого вы можетеиспользовать SkyDNS Agent. Для его работы потребуется отключить использование для тех компьютеров, куда будетпрокси-сервераустановлен агент.

Для обеспечения необходимого учебным заведениям уровня фильтрации Ideco UTM и SkyDNS должны быть настроены согласно данным тре.бованиям

https://www.skydns.ru/activation

https://www.skydns.ru/guide

https://www.skydns.ru/info/guides/profiles

https://www.skydns.ru/feedback

https://my.ideco.ru

http://iso-images.ideco.ru/ics/daily/IdecoICS_704_109.iso

https://my.ideco.ru

https://my.ideco.ru


https://ideco.ru/products/ics/free-edition

http://doc.ideco.ru/download/attachments/1704008/SkyDNS%2BIdeco.pdf?version=1&modificationDate=1472817815162&api=v2

http://doc.ideco.ru/download/attachments/1704008/SkyDNS%2BIdeco.pdf?version=1&modificationDate=1472817815162&api=v2

сервер можно получить автоматически при его регистрации.

Доступны следующие типы лицензий, соответствующие одноименным редакциям (подробнее о ):редакциях Ideco UTM

Названиелицензии

Редакция Подключенные модули, ограничения

enterprise-demo 30-тидневнаяпробнаяверсия

Авторизация до 1000 пользователей.Включены все модули и техническая поддержка на 30 дней. Срок действия лицензии - 30 дней.Данную лицензию нельзя переназначить на другой сервер или переместить в свободные.

SMB SMB (бесплатная

)редакция

Авторизация до 40 пользователей.Модули интеграции с Active Directory, антивирус Касперского для web и почты, антиспам Касперского, контрольприложений, предотвращение вторжений, расширенный контент-фильтр, доступ к технической поддержкеприобретаются отдельно и не входят в бесплатную лицензию.

enterprise Enterprise Количество авторизованных пользователей ограничено лицензией.Включены модули интеграции с Active Directory, контроль приложений, предотвращение вторжений, расширенныйконтент-фильтр, доступ к технической поддержке на период активности на редакцию (кроме модуляподпискиинтеграции с Active Directory, который доступен всегда во время действия лицензии на Ideco UTM).Модули антивируса и антиспама Касперского приобретаются отдельно (для покупки вы можете обратиться в отдел

).продаж

При отсутствии лицензии для сервера Ideco UTM или при окончании срока действия лицензии, сервер работает в режиме "разрешить интернет всем",при этом авторизация пользователей и фильтрация трафика не осуществляется. Коммерческие лицензии и лицензия SMB действуют не менее 10 лет смомента выписки лицензии.

Выполнить регистрацию сервера, просмотреть информацию о имеющихся лицензиях и добавить коммерческую лицензию (если она куплена) илилицензию SMB можно в разделе "Ideco UTM" личного кабинета.

Подробный просмотр информации о сервере и лицензии доступен при нажатии на значок "глаза".

Для удобства вы можете изменить имя сервера, нажав на иконку "карандаша" рядом с названием сервера.

Подробная информация о лицензии содержит сведения о дате действия имеющихся модулей, количестве пользователей и сроке окончания обновленийи технической поддержки продукта.

Управление лицензиями

Привязка лицензий к серверу осуществляется методом drag-and-drop. Вы можете назначить имеющиеся коммерческие лицензии на любойзарегистрированный вами сервер Ideco UTM с учетом следующих ограничений:

Одна лицензия может быть привязана только к одному серверу.Демо-лицензию (enterprise-demo) нельзя привязать к другому серверу. Можно только удалить ее, перетащив в "свободные лицензии".Демо-лицензию (enterprise-demo) нельзя повторно получить на одну и ту же инсталляцию сервера.

В будущем в личном кабинете появится возможность покупки модулей, выставления счетов на продление и покупку лицензий. В настоящее время дляосуществления этих операций вы можете обратиться в .отдел продаж

Добавление коммерческой лицензии

После покупки лицензии вы получите токен (текстовый ключ) вида: "owhYLGvT6Xmm819JyinSxREkJfvjVO63".

Чтобы добавить лицензию в личный кабинет в разделе "Ideco UTM" нажмите на ссылку "Добавить коммерческую лицензию" и скопируйте в поле

https://ideco.ru/products/ics/editions





https://ideco.ru/buy/ics#buy

https://ideco.ru/buy/ics#buy

https://ideco.ru/buy

1. 2. 3.

4.

Чтобы добавить лицензию в личный кабинет в разделе "Ideco UTM" нажмите на ссылку "Добавить коммерческую лицензию" и скопируйте в полеимеющийся токен.

После этого токен будет недействителен, а в свободных лицензиях появится купленная вами лицензия.

Методом drag-and-drop привяжите лицензию к нужному вам серверу (после его регистрации в кабинете, см. следующий раздел).


После установки Ideco UTM для полноценной работы сервера необходима его регистрация.

Для регистрации сервера на нем должен быть доступен интернет (обязательно настройте внешний интерфейс и подключение к провайдеру передрегистрацией).

Выполните для этого следующие действия:

Зарегистрируйтесь в личном кабинете пользователя, если вы не делали этого ранее.Зайдите в личный кабинет и в разделе "Ideco UTM" - "Сервер" нажмите ссылку " ".Добавить серверСкопируйте получившийся код (токен) в буфер обмена.

Зайдите в веб-интерфейс администрирования Ideco UTM в раздел "О программе" - "Лицензия", вставьте полученный токен и нажмите кнопку" ".Зарегистрировать

После регистрации сервер автоматически получит лицензию (если он имеет доступ к интернету) и в веб-интерфейсе можно будет увидеть ее состояние:

Резервное копирование и восстановление данных

Резервное копирование

Предоставление пользователям стабильного доступа в сеть Интернет является основной задачей, решаемой интернет-шлюзом. Но иногда случаютсяситуации, которые приводят к сбоям в работе системы и последующему нарушению доступа в интернет. В зависимости от сложности сбоя можетпотребоваться полная переустановка интернет-шлюза и восстановление данных из резервных копий. В этом разделе вы найдете описание процесса

В версии 7.0.4 все модули помечены, как выключенные, это является особенностью данной переходной версии. Их актуальное состояниебудет показано в этом разделе начиная с версии 7.1

Начиная с версии 7.8.0 используется новый формат бэкапов, не совместимый со старыми версиями.

https://my.ideco.ru/register/

ситуации, которые приводят к сбоям в работе системы и последующему нарушению доступа в интернет. В зависимости от сложности сбоя можетпотребоваться полная переустановка интернет-шлюза и восстановление данных из резервных копий. В этом разделе вы найдете описание процессасоздания резервных копий интернет-шлюза Ideco UTM.

В зависимости от того, где вы собираетесь хранить резервные копии, интернет-шлюз поддерживает следующие типы автоматического резервногокопирования:

на сетевое файловое хранилище по протоколу FTP;на сетевое файловое хранилище по протоколу NetBIOS;на локальный жесткий диск.

Для настройки автоматического резервного копирования перейдите в следующий раздел административного web-интерфейса Сервисы -> Резервноекопирование. В этом разделе вы сможете настроить каждый из типов резервирования данных. Резервная копия создается каждый день в указанный внастройках час (рекомендуется выбирать ночное время для создания резервной копии).

Хранить резервные копии можно в течении недели или месяца.

Резервное копирование на удаленное файловое хранилище по протоколу FTP

Данный тип предусматривает запись резервных копий на FTP-сервер. Ключевые параметры, необходимые для настройки резервного копирования наFTP-сервер, описаны в таблице.


Адрес сервера IP-адрес удаленного FTP-сервера, на котором будут размещаться копии БД.

Логин Имя пользователя для авторизации на FTP-сервере.

Пароль Пароль для авторизации на FTP-сервере.

Путь к каталогу Каталог, в который будут записываться копии БД.

Резервное копирование на сетевое файловое хранилище по протоколу NetBIOS

Данный тип резервного копирования предусматривает запись копии на сервер по протоколу NetBIOS (CIFS). Ключевые параметры, необходимые длянастройки резервного копирования на NetBIOS-сервер, описаны в таблице.


Адрес сервера IP-адрес удаленного NetBIOS-сервера, на котором будут размещаться копии БД.

Логин Имя пользователя для авторизации на сетевом ресурсе Windows.

Пароль Пароль для авторизации на сетевом ресурсе Windows.

Путь к каталогу Каталог, в который будут записываться копии БД.

Резервное копирование на локальный жесткий диск

Возможно загрузить резервную копию с сервера или с компьютера на сервер с помощью веб-интерфейса либо локального меню.

Кнопка позволяет загрузить выбранную резервную копию на сервер для последующего восстановления."Загрузить из файла"Кнопка позволяет создать резервную копию настроек сервера. Копии настроек создаются автоматически ежедневно."Создать"Кнопка позволяет восстановить резервную копию настроек. Возможно восстановление настроек только для"Применить резервную копию"бэкапа версии одинаковой с установленной на сервере.Кнопка позволяет скачать резервную копию с сервера на ваш компьютер."Загрузить резервную копию"

Кнопка удаляет резервную копию с сервера."Удалить"

Для доменной учётной записи формат поля "Имя пользователя" должен иметь вид: Имя_домена/Имя_пользователя

Кнопка удаляет резервную копию с сервера."Удалить"

Интерфейс управления резервными копиями в веб-интерфейсе

Интерфейс управления резервными копиями в локальном меню сервера

Резервное копирование и восстановление почтовых ящиков пользователей.

Если на UTM был настроен почтовый сервер и требуется полностью восстановить конфигурацию на новом сервере, то, помимо восстановления базыданных с настройками UTM, нужно так же переписать все почтовые ящики пользователей, хранящиеся на сервере в каталоге (является/var/mail/

символической ссылкой на каталог )./var/spool/mail/

1. 2. 3. 4. 5.

1.

2. 3.

символической ссылкой на каталог )./var/spool/mail/

Копирование содержимого этого каталога можно осуществить с помощью WinSCP или любым другим scp-клинетом. Также возможно перемещениесодержимого каталога с диска старого сервера на диск нового сервера в каталог , подключив оба диска к серверу и загрузившись из-под/var/mail/любого live-cd дистрибутива linux. Будьте готовы к копированию/сохранению больших объемов данных.

После перемещения содержимого каталога на новую инсталляцию сервера важно расставить верные права ( ) на/var/mail/ nobody:imapсодержимое каталога рекурсивно. Лучше всего это делать на новой инсталляции, , загрузив сервер в режиме удаленного помощника подключившись к

и выполнив команду:консоли сервера от root

chown imap:mail /var/mail/ -R

После этого вся почтовая корреспонденция станет доступна клиентам UTM на новой установке под их прежними учетными записями на их ПК из-подих почтовых клиентов как прежде.

При возникновении проблем в ходе выполнения этой процедуры - обратитесь в нашей компании, заранее техническую поддержку подготовив доступ по к новому серверу и корреспонденции со старого сервера (к бэкапу или диску старого сервера).ssh

Режим удаленного помощника

Чтобы служба технической поддержки могла подключиться к вашему серверу удаленно, необходимо включить режим удаленного помощника. Работасервера в этом режиме не влияет на работу пользователей.

Возникают ситуации, когда необходимо воспользоваться правами пользователя root. Режим удаленного помощника активирует учетную запись root навсе время действия режима.

Включение режима удаленного помощника из веб-интерфейса

Войдите в веб-интерфейс в раздел «Тех. поддержка».Нажмите кнопку «Включить».Придумайте временный пароль для удаленного помощника ( ).необходимо использовать сложный пароль!Нажмите «Ок». После этого режим помощника будет активирован.Рекомендуются выключить режим удаленного помощника по окончании необходимых работ в консоли.

Загрузка сервера в режиме удаленного помощника из локальной консолиСервер может быть загружен в этом режиме. Этот способ включения режима удаленного помощника может быть полезен если доступ к веб-интерфейсусервера отсутствует.

После включения сервера перед началом загрузки Ideco UTM при появлении меню загрузчика GRUB с выбором ядра linux для загрузкисистемы, нажмите англоязычную клавишу "a" на клавиатуре. Меню загрузчика представлено далее на снимке экрана.

После нажатия клавиши вам станет доступна правка параметров загрузки выбранного ядра."a"Придумайте временный пароль для удаленного помощника. Допишите в конец существующего списка параметров ваш временный пароль иотключение проверки файлов при загрузке: , как показано на фрагменте ниже. После этого нажмите .p=пароль "Enter"

Режим удаленного помощника остается включенным даже при перезагрузке сервера. Отключайте данный режим, когда использовать его нетнеобходимости.

Крайне не рекомендуется постоянная эксплуатация сервера Ideco UTM в данном режиме.

3.

4.

5.

1. 2.

1. 2.

a. b. c.

отключение проверки файлов при загрузке: , как показано на фрагменте ниже. После этого нажмите .p=пароль "Enter"

Нажмите Enter и дождитесь загрузки сервера. Сервер будет функционировать как при обычной загрузке, на работе пользователей режимудаленного помощника не отразится.Отправьте специалисту технической поддержки внешний IP-адрес сервера и временный пароль, который вы указали после ."p="

Работа из консоли сервера от имени пользователя root в режиме удалённого помощника

Чтобы организовать работу из консоли сервера от пользователя root в режиме удаленного помощника необходимо выполнить следующие действия.

Запустите консоль. Для этого нажмите Alt+F7.В поле "login" введите root, а затем временный пароль, который вы указали после "p= ."

Вы вошли в систему с правами пользователя root. Об этом свидетельствует символ "# в строке с приглашением."

Работа с сервером удаленно по протоколу SSH в режиме удаленного помощника

Чтобы организовать работу с локальной консолью сервера удаленно по протоколу SSH от пользователя root в режиме удаленного помощниканеобходимо выполнить следующие действия.

Подключитесь к серверу с помощью SSH-клиента .putty Программа бесплатна и скачать её вы можете с web-сайта разработчиков.При подключении из локальной сети используйте адрес, который настроен на локальной сетевой карте Ideco. Введите необходимые параметрыдля подключения:

порт – 33; логин – root;

пароль, указанный при включении удаленного помощника.

Символ "# свидетельствует о том, что вы работаете от имени пользователя " root.

Удаленный доступ для управления сервером

Удаленный доступ к локальному меню

Существует несколько способов удаленного доступа к меню сервера:

Удаленный доступ к локальному менюПодключение из локальной сетиПодключение из Интернета

Доступ к веб-интерфейсу управления сервером из сети ИнтернетПодключение по VPNИспользуя SSH-туннель

Подключение из локальной сети

Обязательно задайте сложный пароль (длиной не менее 8-ми символов, с буквами и цифрами). Иначе злоумышленники могутполучить доступ к вашему серверу.

1. 2.

1. 2.

Подключение к локальному меню осуществляется по SSH. Для организации доступа из локальной сети к меню сервера необходимо выполнитьследующие действия.

1. Разрешить подключение по SSH. Для этого перейдите в меню " и активируйте пункт ."Сервисы - Дополнительно "Доступ из локальных сетей"

2. Подключиться к серверу с помощью любого SSH-клиента (например, PuTTY), используя 22 порт. Необходимо указать логин и пароль локальнойrootконсоли (можно изменить на странице управления удаленным доступом по SSH, нажав кнопку "Изменить пароль").Используйте команду для запуска меню, команду – для запуска файлового менеджера.ideco-local-menu mc

Подключение из Интернета

Для подключения по SSH из интернета к локальному меню сервера необходимо выполнить следующие действия.

1. Разрешить подключение по SSH из Интернета. Для этого перейдите в меню " и активируйте пункт "Сервисы - Дополнительно "Доступ из внешних.сетей"

2. Подключиться к серверу с помощью любого SSH-клиента (например, PuTTY), используя 22 порт. Необходимо указать логин и пароль локальнойrootконсоли (можно изменить на странице управления удаленным доступом по SSH, нажав кнопку "Изменить пароль").Используйте команду для запуска меню, команду – для запуска файлового менеджера.ideco-local-menu mc

Доступ к веб-интерфейсу управления сервером из сети Интернет

В целях безопасности прямой доступ к веб-интерфейсу управления Ideco UTM из сети Интернет запрещен. Для управления сервером извне можноиспользовать следующие более безопасные способы.

Подключение по VPN

Необходимо создать VPN-подключение к серверу, например, по .L2TP/IPsecЗатем можно войти в веб-интерфейс по защищенному IP-адресу сервера, по-умолчанию либо по первому IP-адресу основногоhttps://10.128.0.0локального интерфейса сервера.

Используя SSH-туннель

Для подключения к веб-интерфейсу, необходимо выполнить следующие действия:

Загрузить сервер в .режиме удаленного помощникаПодключиться к серверу с помощью любого SSH-клиента (например, PuTTY), используя порт. Необходимо указать логин и22 TCP root

https://10.128.0.0

1. 2.

3.

Загрузить сервер в .режиме удаленного помощникаПодключиться к серверу с помощью любого SSH-клиента (например, PuTTY), используя порт. Необходимо указать логин и22 TCP rootпароль, который был назначен для доступа к локальной консоли.В параметрах подключения укажите порт для создания туннеля

Затем можно зайти в веб-интерфейс по адресу https://127.0.0.1:8000/

Обновление сервера

Автоматическое обновлениеОбновление сервера с помощью установочного дискаУстаревшие версии Ideco UTM

Автоматическое обновление

Автоматическое обновление инкрементальное - не требуется скачивание объема целого образа, загружаются только измененные данные.

Параметры автоматического обновления настраиваются в разделе Сервер - Автоматические обновления. Выберите день недели и час автоматическогообновления (в это время сервер будет перезагружен). Можно отложить обновления на срок до 6 месяцев, с даты выхода нового релиза. Также естьвозможность запустить механизм принудительного обновления, не дожидаясь расписания, нажав на кнопку в интерфейсе "Запустить обновление".

Обновление с версий и более ранних, до актуальной версии невозможно. Рекомендуется чистая установка новой версии.6.хОбновление до версии 7.1.0 и более новых возможно только с версии и после в личном кабинете.7.0.4 регистрации сервера

Автоматическое обновления происходит с ближайших версий до текущей. Обновление с относительно старой версии на текущую можетпроисходить поэтапно с промежуточными версиями. В этом случае требуется производить обновление до тех пор, пока интерфейс несообщит "На сервере нет обновлений для вашей версии".

https://127.0.0.1:8000/

http://iso-images.ideco.ru/ics/IdecoICS_704_109_all.iso

При инициировании принудительного обновления будет произведена загрузка обновления, после чего потребуется полная перезагрузка UTM.

После проведения обновления номер новой версии будет отображаться в верхних левых углах локальной консоли и веб-интерфейса администратора.

После обновления сервера обязательно до входа в веб-интерфейс Ideco UTM, иначе он может работать не корректно.очистите кэш браузера

Обновление сервера с помощью установочного диска

Актуально для версий Ideco UTM до 7.7.4 включительно. Версии новее обновляются только с помощью системы автоматического обновления.

Прежде всего вам нужно скачать CD-образ (.iso) с сайта нашей компании и записать его на CD или USB-flash. Актуальная версия образа доступна на эт.ой странице

Также возможно обновление системы с USB-Flash: по созданию загрузочного USB-flash диска.инструкция

Во время обновления сервера может происходить реструктуризация базы данных. Не допускайте перезагрузку сервера в этот момент- это приведет к увеличению времени на данную процедуру.Во время применения патчей при перезагрузки сервера на локальном экране могут появляться вопросы о замене файлов. На нихтребуется отвечать клавишей "Y", если вы хотите продолжить обновление с заменой всех ручных изменений конфигурационныхфайлов.

Автоматическое обновление на последнюю версию всегда выходит после выпуска версии, а не одновременно. Если на сайте имеется новаяверсия, а интерфейс сообщает, что на сервере нет новых обновлений, то нужно подождать выхода обновления.

http://ideco.ru/obtain/ics

http://ideco.ru/obtain/ics

https://ideco.ru/assets/files/Create_USB_Flash.pdf

Записанный установочный диск вставьте в DVD-ROM вашего сервера, либо вставьте USB-flash диск в USB-порт.

В начале процесса обновления вы увидите приглашение загрузчика Ideco UTM. Не выбирайте никаких дополнительных опций, нажмите "Enter ."Загрузчик показан на снимке экрана ниже.

Далее система предлагает вам выбрать тип установки. Подробную информацию о возможных вариантах загрузки вы можете найти в разделе "Установка". В случае обновления сервера выберите пункт "Обновление и нажмите " "OK . Меню выбора типа установки показано ниже."

Для проверки того, что ваша копия образа была скачана с сайта без ошибок и корректно записана на CD, нужно сравнить полученный образ иобраз, записанный на диск, на соответствие хеш-суммы MD5. MD5-хеш опубликованного файла образа указан на странице загрузкиiso-образа.

Убедитесь, что в BIOS выбрана загрузка с DVD-ROM / USB.

Система предупреждает о том, что в процессе обновления старые версии всех системных файлов заменяются на новые с установочного диска.Предупреждение об обновлении файлов приведено ниже. Все настройки, которые были произведены на сервере (настройки сервера и пользователей,контент сайтов на сервере, статистика и т.д.), останутся неизменными. Конфигурационные файлы будут обновлены при первой загрузке сервера. Дляпродолжения нажмите "Да ."

Процесс обновления файлов запустится в автоматическом режиме и может занять несколько минут.

Завершающим шагом является перезагрузка компьютера. Нажмите кнопку "OK ."

Устаревшие версии Ideco UTM

4.3.9 build 630 - последняя версия 4-го релиза Ideco ICS.

5.6.2 build 100 - последняя версия 5-го релиза Ideco ICS.

6.6.3 build 100 - на данную версию можно бесплатно обновиться с версий 6.х, даже при окончании подписки на обновления.

7.0.4 build 109 - версия Ideco ICS, с которой возможно (после регистрации) обновление сервера до версии 7.1 и более поздних. На данную версиюможно бесплатно обновиться с версий 6.х, даже при окончании подписки на обновления.

Популярные рецептыРаздел включает в себя информацию по настройке популярной функциональности Ideco UTM.

Что делать если не работает Интернет

ШАГ 1. Проверить параметры пользователя

Найдите пользователя, у которого не работает Интернет, в веб-интерфейсе во вкладке Общие кликните по ссылке Проверить возможностьподключения, возможные варианты ошибок описаны в главе .Проверка пользователяУбедитесь, что проверяемый пользователь авторизован на сервере. Возможные состояния пользователя описаны в главе Дерево пользователей(таблица 4.2.2).

http://iso-images.ideco.ru/ics/IdecoICS_439_630.iso



http://iso-images.ideco.ru/ics/IdecoICS_704_109_all.iso

ШАГ 2. Проверка компьютера пользователя

Проверьте с компьютера пользователя ping до адреса 8.8.8.8: , введите , в появившемся окне ping 8.8.8.8:Пуск -> Выполнить cmd

если адрес 8.8.8.8 пингуется проверяем ping ya.ru;если адрес пингуется, перейдите к Шагу 6;ya.ruесли "не удалось обнаружить узел ", то, возможно, не работает DNS провайдера, проверьте dns командой nslookup 222.222.222.222,ya.ru ya.ruвместо 222.222.222.222 укажите DNS адрес провайдера:- если ответа нет, значит, dns провайдера не работает, обратитесь к провайдеру;- если ответ есть, проверьте адрес первичного DNS на вашем компьютере (должен быть указан локальный адрес Ideco UTM), проверьте также,что DNS сервер включен на Ideco в разделе Сервер -> DNS;если адрес 8.8.8.8 не пингуется перейдите к Шагу 3.

ШАГ 3. Проверка Интернет на сервере

Зайдите в локальное меню сервера: , выполните команду ping 8.8.8.8, для остановки ctrl+c:Сервис -> КонсольЕсли ping не проходит:- Проверьте настройки сервера, адреса и маски интерфейсов.- Убедитесь, что используемое вами сетевое оборудование является исправным, сетевые кабели правильно обжаты, а также не имеют изломов иобрывов, проверьте индикатор link на сетевой карте, перезагрузите коммутатор и модем (если используется).- Если используемый тип подключения простое Ethernet-соединение, то необходимо выполнить команду arp -an | grep<адрес_шлюза_провайдера>. Если MAC-адрес шлюза провайдера не определился, то имеет смысл попробовать перезагрузить Сервер, вытащивкабель до провайдера. После того как сервер перезагрузился - вставить кабель до провайдера и проверить MAC-адрес шлюза провайдера снова.Такое решение помогает, если "подвисает" порт коммутатора провайдера. Если после указанной меры MAC шлюза провайдера не появился втаблице MAC адресов - обратитесь к провайдеру. Связь до провайдера должны быть всегда. Следует отметить, что в случае перехода с другогооборудования, возможно отсутствие Интернета ввиду использования провайдером привязки по MAC адресу.Если ping проходит, перейдите к Шагу 4

ШАГ 4. Проверка файрвола

Отключите пользовательский и системный файрвол, все группы.Если Интернет появился, найти правило запрещающее Интернет в файрвол, поочередно включая правила.Если ничего не помогло, перейдите к Шагу 7.

ШАГ 5. Проверка работы веб-трафика

Если у пользователя пингуются ресурсы и по доменному имени, и по IP-адресу, но при этом не работает веб-трафик:

Проверьте, что в браузере убраны все настройки прокси.Выключите временно файрвол Windows и антивирусное ПО.Попробуйте отключить на Ideco UTM прокси сервер.Если ничего не помогло перейдите к Шагу 7.

ШАГ 6. Обратитесь в техподдержку.

Cделайте скриншоты вкладки пользователя в развёрнутом виде и создайте обращение на или напишите письмо на Общие портале поддержки [email protected]

Включите режим удалённого помощника и обратитесь в службу технической поддержки: https://ideco.ru/support/remote-help

Блокировка популярных ресурсов

Заблокировать программы удаленного доступаЗаблокировать Ammyy AdminЗаблокировать TeamViewer

Блокировка анонимайзеровЗаблокировать Opera.Turbo, Opera VPN, Yandex.Turbo, friGate, Anonymox, BrowsecЗаблокировать TOR

Заблокировать ICQЗаблокировать торренты

Заблокировать программы удаленного доступа

Заблокировать Ammyy Admin

https://helpdesk.ideco.ru/

https://ideco.ru/support/remote-help

Для блокировки программы удаленного доступа Ammyy Admin необходимо в пользовательском (если необходимо заблокировать её у выбранныхпользователей) или системном (если необходимо заблокировать ее для всех) файрволе создать правило:

Заблокировать TeamViewer

Заблокируйте TeamViewer с помощью , выбрав одноименный протокол в правиле для пользователей или группконтроля приложений

Блокировка анонимайзеров

Заблокировать анонимайзеры, работающие по HTTP(S), можно с помощью (категория "Веб-прокси" стандартного контент-фильтра иконтент-фильтра"Анонимайзеры" расширенного).

Для блокировки VPN-анонимайзеров, как правило, достаточно заблокировать протокол GRE:

Также для запрета обхода контент-фильтра рекомендуем создать правило запрета прямых обращений по IP-адресам в Контент-фильтре:

Заблокировать Opera.Turbo, Opera VPN, Yandex.Turbo, friGate, Anonymox, Browsec

Заблокировать данные и некоторые другие плагины (анонимайзеры) и функции браузеров, которые часто используются для обхода контентнойфильтрации, можно с помощью , активировав в ней группу правил "Анонимайзеры" и отдельную группу правилсистемы предотвращения вторжений"Opera VPN" для блокировки одноименного сервиса.

В журнале системы предотвращения вторжений будут фиксироваться попытки обхода контентной фильтрации с помощью данного ПО (и они будутзаблокированы):

07/20/2017-15:06:04.056815 [Drop] [**] [1:1001697:1] Opera VPN [**] [Classification: Opera VPN] [Priority: 2] {TCP} 10.80.1.74:64784 ->169.254.254.254:443

07/20/2017-15:09:20.531169 [Drop] [**] [1:1001675:0] Anonymox HTTP [**] [Classification: Анонимайзеры] [Priority: 2] {TCP} 10.80.20.95:35576 ->207.244.89.90:88

Заблокировать TOR

1. 2.

3.

4.

Tor - это система прокси-серверов, позволяющая устанавливать анонимное сетевое соединение для обхода контентной фильтрации.

Для противодействия использованию сети Tor, а также журналирования попыток подключения к ней и её использования необходимо сделатьследующее:

Включить и активировать в ней категорию "Блокирование атак", которая позволяет блокировать подключения ксистему предотвращения вторженийвходным узлам сети Tor.

Включить и добавить правила запрета приложения TOR к определенной группе или всем пользователям:контроль приложений

Заблокировать ICQ

В модуле создайте правила блокировки протокола Oscar и ICQ для нужных пользователей или групп.контроль приложений

Либо воспользуйтесь пользовательским файрволом. Для блокировки ICQ создайте группу правил в пользовательском файрволе и примените её кнужным группам и пользователям. В правилах - везде forward.путь

Заблокировать торренты

BitTorrent - P2P-протокол, предназначенный для обмена файлами через интернет.

Для существенного ограничения возможности использования торрентов необходимо выполнить следующие настройки:

Запретите протокол BitTorrent с помощью правила в модуле контроль приложенийИспользовать политику при настройке системного или пользовательского файрвола."запретить все, кроме разрешенного"Например, применив на пользователей группу правил пользовательского файрвола "Запретить все, кроме веб", разрешающего пользователямдоступ только к веб-ресурсам и DNS (в правилах - везде forward):путьЗапретить сайты-каталоги торрент-файлов с помощью , запретив категорию . И запретить скачивание файловконтент-фильтра Торрент-трекерыс расширением .torrentВключить и активировать в ней категорию "Запросы на скомпрометированные ресурсы", котораясистему предотвращения вторженийпозволяет блокировать активность P2P-программ.

Использование ics_tune.sh

В некоторых случаях требуется низкоуровневое вмешательство в работу сервера, такие как: замена оригинальных файлов на модифицированные, подваши нужды, копии, добавление правил в файрвол с помощью прямого указания команд iptables или выполнения несложных последовательностейдействий после загрузки определенной службы. В нашем продукте есть такая возможность при помощи специального файла пользовательских скриптов.

При загрузке сервера, в самом конце запуска каждой системной службы, система запускает на исполнение файл /usr/local/ics/bin/ics_tune.sh спередаваемыми ему параметрами: какая служба вызывает файл (передается имя службы) и какое действие нужно обработать запускаемому файлу (поумолчанию действие всегда "start" - запустить что-то). Файл запускается в среде bash - командной оболочке linux. Таким образом каждая служба можеткак то подготовить (tune) систему сразу после своего запуска. В процессе загрузки системы этот файл может запускаться несколько раз, каждый разразными службами и поэтому все инструкции в этом файле должны вызываться по определенному условию, исходя из переданных файлу параметров,описанных выше. В большинстве случаев достаточно запускать действия всего по одному условию - имени вызывающего файл системного скрипта.Этого вполне хватает чтобы ассоциировать инструкции файла ics_tune.sh с определенными системными сервисами.

Итак: код в файле пишется в синтаксисе командной оболочки bash, инструкции обосабливаются блоком проверки имени вызывающего скрипта. В концефайла обязательна пустая строка, знания bash и linux крайне желательны. Файл выполняется с повышенными правовыми привилегиями в системе,поэтому неправильные и необдуманные действия легко могут привести к необратимому краху системы.

Структура файловой системы

В Ideco присутствует два логических диска, смонтрованных в /mnt/rw_disc и /mnt/bk_disc. Содержимое первого диска в основном содержит изменяемыеданные и доступно для записи и удаления файлов от имени пользователя root, второй диск предназначен для сохранения и выгрузки бекапов, доступендля записи и чтения, даже от непривилегированного системного пользователя sysadm. Остальные файлы и данные дистрибутива не предполагаемые к

частым изменениям располагаются в "корне" основной файловой системы, смонтированной в / , доступны для редактирования от пользователя root.

Tor - специально разработанное программное обеспечение и среда прокси-серверов, предназначенная для обхода различного родаблокировок, поэтому полностью заблокировать его в настоящее время не представляется возможным.

Программы-клиенты BitTorrent используют механизмы обхода блокировок: шифрование трафика, использование не специфических портов(80, 443) и др. механизмы. Поэтому полностью заблокировать их в настоящее время невозможно.Поэтому действия по блокированию торрентов с помощью файрвола и контент-фильтра, описанные в статье, должны сопровождатьсянастройкой и для пользователей.полосы пропускания лимитов трафика

https://doc.ideco.ru/pages/viewpage.action?pageId=1704070#id-%D0%9F%D1%80%D0%BE%D1%84%D0%B8%D0%BB%D0%B8%D0%B2%D1%8B%D1%85%D0%BE%D0%B4%D0%B0%D0%B2%D0%98%D0%BD%D1%82%D0%B5%D1%80%D0%BD%D0%B5%D1%82-%D0%9F%D1%80%D0%B8%D0%BC%D0%B5%D1%80%D0%B8%D1%81%D0%BF%D0%BE%D0%BB%D1%8C%D0%B7%D0%BE%D0%B2%D0%B0%D0%BD%D0%B8%D1%8F%D0%BF%D1%80%D0%BE%D1%84%D0%B8%D0%BB%D1%8F%D0%B4%D0%BB%D1%8F%D0%BB%D0%B8%D0%BC%D0%B8%D1%82%D0%B8%D1%80%D0%BE%D0%B2%D0%B0%D0%BD%D0%B8%D1%8F%D1%82%D1%80%D0%B0%D1%84%D0%B8%D0%BA%D0%B0.

частым изменениям располагаются в "корне" основной файловой системы, смонтированной в / , доступны для редактирования от пользователя root.

С ics_tune.sh нужно работать от имени системного пользователя root. Для этого нужно загрузить сервер в и режиме удаленного помощника получить (вам поможет ssh-клиент putty для windows или любой терминал linux). Подключившись в консоль linux от root,доступ к консоли linux с помощью ssh

вы сможете почти неограниченно работать с файловой системой сервера и выполнять на сервере некоторые команды linux.

Необходимо перемонтировать файловую систему в режиме записи:

mount -o rw,remount /

Файл ics_tune.sh удобнее всего редактировать с помощью утилиты mcedit. В конце файла нужно обязательно оставлять пустую строку после всехвнесенных изменений.

mcedit /usr/local/ics/bin/ics_tune.sh

Когда вы отредактировали файл, то сохраните его содержимое при выходе из mcedit, перезагрузите систему (команда reboot) и проверяйте работусистемы после ее загрузки. Если вы все сделали правильно - ics_tune.sh должен быть вызван во время загрузки системы и действия, описанные в нем,должны были примениться к системе.

Пример замены файлов

Рассмотрим пример содержимого файла для замены конфигурационного файла fail2ban своей модифицированной копией:

#!/bin/bashif [ "$1" = "rc.mount" ]; thenmount --bind /mnt/rw_disc/fail2ban.conf /mnt/rw_disc/etc/fail2ban/fail2ban.conffi

Как видите, нужно монтировать файл именно во время работы системного скрипта rc.mount, отвечающего за монтирование разделов системы иотдельных файлов в сложной структуре файлов и каталогов сервера Ideco. Надо отметить что привычные пути для известных файлов в среде Linux какправило отличаются от путей в нашей системе. Так же необходимо знать что исполняемые файлы (скрипты или бинарные файлы-программы) не удастсяпримонтировать с rw диска, так как эти файлы должны иметь права на запуск, а rw диск не имеет возможности хранить запускаемые файлы посоображениям безопасность. Приведенный пример позволяет заменять только текстовые файлы для чтения и записи, модифицированные версиикоторых вы можете хранить на доступном для записи rw диске.

Пример работы с фаервол

Следующий пример показывает как дополнить фаервол своими правилами для решения такой задачи: есть два сервера Ideco UTM, соединённых поOpenVPN, надо чтобы трафик между ними ходил в обход прокси и фаервол. В первом офисе сеть 192.168.10.0/24, во втором офисе 192.168.11.0/24.Решаем следующим образом:

#!/bin/bash

if [ "$1" = "firewall_custom.sh" ]; theniptables -t nat -I PREROUTING -s 192.168.10.0/24 -d 192.168.11.0/24 -j ACCEPTiptables -t nat -I PREROUTING -s 192.168.11.0/24 -d 192.168.10.0/24 -j ACCEPTiptables -I FORWARD -s 192.168.10.0/24 -d 192.168.11.0/24 -j ACCEPTiptables -I FORWARD -s 192.168.11.0/24 -d 192.168.10.0/24 -j ACCEPTfi

Пример для запрета ping-а внешнего интерфейса:

#!/bin/bashif [ "$1" = "firewall_custom.sh" ]; theniptables -A INPUT -p icmp --icmp-type echo-request -j DROPfi

Естественно нужно знать синтаксис команд, используемых в ваших скриптах, в данном случае необходимо знание iptables.

Обход правил фильтрации для возможности работы мобильных клиентов Telegram

#!/bin/bash

if [ "$1" = "firewall_custom.sh" ]; theniptables -t nat -I PREROUTING -d -j ACCEPT149.154.164.0/22fi

Пример замены файлов ошибок прокси-сервера Squid на свои собственные

1.

2. 3.

4.

5.

6.

7.

8. 9.

10.

1.

#!/bin/bashif [ "$1" = "rc.mount" ]; thenmount --bind /mnt/rw_disc/TEMP/ERR_ACCESS_DENIED \/usr/share/squid/errors/ru-ru/ERR_ACCESS_DENIED

mount --bind /mnt/rw_disc/TEMP/ERR_CACHE_ACCESS_DENIED \/usr/share/squid/errors/ru-ru/ERR_CACHE_ACCESS_DENIED

mount --bind /mnt/rw_disc/TEMP/ERR_LIFETIME_EXP \/usr/share/squid/errors/ru-ru/ERR_LIFETIME_EXPfi

Скрипт монтирует три файла часто встречающихся ошибок доступа в прокси-сервере squid. Используется перенос '\' для более удобногоредактирования длинных строк. Перед этим нужно создать каталог /mnt/rw_disc/TEMP/ и положить туда ваши страницы ошибок прокси-сервера. Послеэтого они могут быть смонтированы на место оригинальных файлов в системе.

Особенности подключения через ADSL-модем

Подключение через ADSL-модем, настроенный в режиме роутера

Если модем находится в режиме роутера, то нужно сменить размер MTU на внешнем сетевом интерфейсе Ideco, указать его равным 1000. В этом случаенеобходимо настраивать Ideco UTM как в разделе и указывать локальный адрес модема в качестве шлюза для Ideco UTM.Подключение по EthernetНеобходимо обратить внимание на то, чтобы адресация локальной сети не пересекалась с адресацией модема.

Пример: на модеме настроен адрес 172.16.0.1/24, в этом случае на ideco нужно прописать адрес из сети 172.16.0.0/24 (к примеру 172.16.0.2) а в качествешлюза и DNS нужно указать 172.16.0.1. Соответственно адресация в локальной сети ни в коем случае не должна пересекаться с сетью 192.168.0.0/24(как вариант можно использовать сеть по умолчанию - 192.168.0.0/24).

Подключение через ADSL-модем, настроенный в режиме мостаНастроить на любом компьютере с Windows такой-же IP-адрес и маску, как на внешнем интерфейсе Ideco. Пусть это будет адрес 192.168.1.2 смаской 255.255.255.0.Подключить модем непосредственно к сетевой карте компьютера с Windows.Набрать в браузере http://IP-адрес_модема (который был указан в качестве шлюза по умолчанию в Ideco). В большинстве случаев это - http://19

.2.168.1.1Убедиться, что модем работает в режиме маршрутизатора (Router). Если это не так, то скорее всего он уже в режиме моста и ничего менять ненужно.В веб-интерфейсе модема выяснить, используется ли PPPoE для подключения к провайдеру. Если используется, то переписать из модема логини пароль для подключения по PPPoE. Если не используется, то переписать IP-адрес, маску подсети, шлюз по умолчанию и, если есть, IP-адресадвух DNS-серверов.Прежде чем менять какие-либо параметры в модеме, сделайте скриншоты всех настроек на всех подразделах веб-интерфейса модема - этопригодится, если нужно будет откатить изменения обратно.Переключите модем в режим моста (Bridge). Никакие другие параметры менять не нужно (включая VPI,VCI,тип инкапсуляции и другие).После этого связь с модемом (через браузер) может потеряться. Это нормально.Подключить модем обратно к сетевой карте сервера (ко внешнему интерфейсу Ideco).Если на модеме использовалось подключение PPPoE, то настроить PPPoE на внешнем интерфейсе Ideco, указав записанный логин и пароль(Подключение по PPPoE). Если нет, то настроить на внешнем интерфейсе Ideco переписанные IP-адрес, маску, шлюз и DNS-сервера, которыевыдал провайдер.Произвести перезагрузку сервера.

Восстановление пароля администратора

Как восстановить доступ к Ideco UTM, если не известны пароли от локальной консоли и веб-интерфейса

При утере пароля от локальной консоли и веб-интерфейса, имея физический доступ к серверу возможно восстановить пароли.

Для этого нужно сделать следующее:

После включения сервера, перед началом загрузки Ideco UTM, при появлении меню загрузчика GRUB с выбором ядра linux для загрузкисистемы, нажмите англоязычную клавишу "a" на клавиатуре.

1.

2.

3. 4. 5. 6. 7.

После нажатия клавиши вам станет доступна правка параметров загрузки выбранного ядра."a"Придумайте временный пароль для доступа к серверу. Допишите в конец существующего списка параметров ваш временный пароль иотключение проверки файлов при загрузке: . После этого нажмите .p=пароль "Enter"

Дождитесь загрузки системы и появления приглашения для ввода пароля.На клавиатуре нажмите .Alt+F7В поле "login" введите root, а затем временный пароль, который вы указали после "p= ."Введите команду и нажмите Enter.ideco-local-menuВ появившемся меню выберите "Смена пароля".

Обязательно задайте сложный пароль (длиной не менее 8-ми символов, с буквами и цифрами). Иначе злоумышленники могутполучить доступ к вашему серверу.

7.

8.

9.

Введите и повторите пароль: этот пароль будет использоваться при входе в локальную консоль сервера, и для доступа по ssh под пользователемsysadmЗайдите в меню Сервис и выберите там "Сброс пароля и настроек Администратора".

После выполнения этого действия логин и пароль сбросятся до значений по-умолчанию. Логин: на вход в веб-интерфейс Ideco UTMAdministrator. Пароль: servicemode.Выйдите в основное меню и выберите пункт: Перезагрузка сервера - Перезагрузка. После чего сервер перегрузится в обычном режиме сизвестными вам паролями.

Сменить пароль на доступ к веб-интерфейсу можно будет через веб-интерфейс, поменяв пароль у пользователя "Главный администратор".

9.

Сменить пароль на доступ к веб-интерфейсу можно будет через веб-интерфейс, поменяв пароль у пользователя "Главный администратор".

Примечания:

Если при выполнении настоящей инструкции в строке загрузки уже видите прописанные значения для p=пароль nc=1, значит напункта 2вашем сервере включен режим постоянного удаленного помощника.Чтобы отключить его, или поменять используемый пароль, после пункта 4 настоящей инструкции введите команду:mcedit /boot/grub/grub.confи в строке начинающейся и заканчивающейся , измените пароль на нужный вам, либо удалитеkernel /boot/UTMerver p= nc=1окончание строки целиком.Нажмите для сохранения, для выхода из редактора и продолжайте выполнять остальные пункты инструкции.F2 F10При выполнении инструкции, обратите внимание на поле "IP-адрес компьютера администратора", если введенное в нем значение непункта 7соотвествует действительному положению дел, удалите этот адрес или замените его на правильный.

Выбор аппаратной платформы для Ideco UTM

Сведения о программной платформе

Ideco UTM представляет собой операционную систему linux, устанавливаемую на сервер или виртуальную машину. Ideco UTM основан на Centos 6 исодержит ядро linux с набором драйверов от этой ОС с небольшими изменениями с нашей стороны. Таким образом Ideco UTM поддерживаетбольшинство оборудования, поддерживаемого Centos 6. Исходя из этого выбирайте эмулируемую аппаратную платформу "Centos/Linux 2.6" приустановке на .виртуальную машину

Общие рекомендации по чипсетам и производителям

За годы работы с серверами клиентов мы можем выделить несколько закономерностей:

Лучше остальных зарекомендовали себя чипсеты и контроллеры фирм Intel и Broadcom. Особенно сетевые карты и наборы логикииспользуемые в материнских платах.Не рекомендуется использовать встроенные сетевые карты, особенно интерфейсы на бюджетных/редких/устаревших/noname чипсетах. UTMработает с сетью и зачастую бюджетные сетевые адаптеры для десктопов не справляются с задачами шлюза. Лидерами качества тут так жеявляются Intel, Broadcom и не бюджетные Realtek.RAID-контроллеры традиционно не обязательны в работе сетевого шлюза, но если есть необходимость в RAID, то мы гарантируем работу UTMтолько на аппаратных дискретных контроллерах от Intel, LSI logic, Adaptec с обязательным использованием батареи (или супер-конденсатора).Встроенные в материнские платы программные и полуаппаратные RAID контроллеры официально не поддерживаются нашим продуктом.Материнские платы могут использоваться как серверные, так и десктопные. Желательно использование процессоров Intel.Бюджетные, энергоэкономичные платформы для десктопов, полутонких клиентов на базе Intel Atom не подходят для работы Ideco UTM и несоответствуют минимальным к продукту.системным требованиям

Подбор мощности аппаратной платформы

Количество Ггц процессора и объем ОЗУ сервера сильно зависят от нагрузки, возлагаемой на Ideco UTM. При подсчете нагрузки нужно выделить трифактора:

Количество одновременно авторизованных на UTM пользователей.Задействованные компоненты UTM ( , проверка трафика на спам/вирусы, обширность настройки модуля контентнойпрокси с его сервисамифильтрации или файрвола).Система предотвращения вторжений - при подключении по высокоскоростному подключению к провайдеру данная служба может потребоватьзначительных ресурсов процессора и памяти. Рекомендуется использовать многоядерные процессоры (4 и более ядер с частотой более 3 ГГц) иот 8 Гб оперативной памяти.

Минимальные удовлетворяют низкой задействованности служб UTM, обслуживающие небольшое количество авторизованныхсистемные требованияпользователей. Если обслуживается большее количество пользователей (от 50) и сервисов на Ideco UTM - обратите внимание на рекомендуемые имаксимальные системные требования сервера.

Дисковая подсистема

RAID-массивы, как правило, не требуются при типичных схемах использования UTM. Одного современного SATA-винчестера от 200 Гб, как правило,хватает в большинстве конфигураций. В случае с интенсивно используемым почтовым сервером на Ideco UTM, советуем подключать отдельныйвинчестер для хранения почтовой корреспонденции. Рекомендуем использовать устройства марки Western Digital и Seagate. Не советуем использовать дисковые устройства серий green или eco, так как их скоростные и энерго-показатели искусственно занижены и они неподходят для использования на серверах.Использование SSD-дисков также возможно и рекомендуется.

Перенос данных и настроек на другой сервер

Для того чтобы перенести установленный Ideco UTM с одного сервера на другой с сохранением всех настроек, сделайте следующее:

Этап 1: Копирование резервных копий с сервера

В разделе Сервисы -> Резервное копирование -> Резервные копии web-интерфейса сервера создайте резервную копию настроек сервера. И загрузитесозданную копию на ваш компьютер нажав на кнопку "Загрузить резервную копию".

Этап 2. Установка Ideco UTM на новом сервере.Инструкция по установке: Установка Ideco UTM

Этап 3: Перенос резервных копий на новый сервер

В разделе Сервисы -> Резервное копирование -> Резервные копии web-интерфейса сервера нажмите кнопку "Загрузить из файла" и загрузитевыгруженный на первом этапе бэкап.

Этап 4: Восстановление БД из резервных копий Нажмите кнопку "Применить резервную копию". Система будет перезагружена для применения настроек сервера.

Перенос данных почтового сервера

Необходимо скопировать почтовые каталоги пользователей из каталога /var/mail, для этого нужно .подключиться к консоли сервера по SSH

После копирования каталога на новый сервер, нужно расставить права на каталог выполнив команду:

chown -R imap:mail /var/spool/mail

Доступ в удаленные сети через роутер в локальной сети

Избавление от непосредственной маршрутизации м/у роутером и хостами локальной сети.

Допустим, в локальной сети UTM есть роутер устанавливающий связь с другими сетями (часто с помощью туннеля). UTM является шлюзом поумолчанию для клиентов сети. Вы хотите настроить маршрутизацию на UTM так чтобы клиенты получали доступ в удаленную сеть через роутер. Роутери клиенты локальной сети UTM должны быть в разном адресном пространстве иначе возникнет эффект асимметричной маршрутизации при которойчасть трафика от клиентов до роутера пойдет через шлюз а часть будет идти непосредственно от роутера абонентам сети. Разная маршрутизация наразных участках прохождения трафика сделает прохождение пакетов между двумя локальными сетями невозможной.

Рассмотрим ситуацию, в которой UTM является шлюзом для локальной сети 10.80.1.0/16. В этой сети есть роутер с адресом 10.80.1.2, который имеетдоступ в удаленную сеть 192.168.10.0/24. Требуется обеспечить доступ хостов сети 10.80.1.0/16 в сеть 192.168.10.0/14 и обратно. Вариант неправильнойтопологии подобной сети, при которой возникает непосредственная или асимметричная маршрутизация м/у роутером и клиентами локальной сети,показан ниже.

Оранжевым показана двусторонняя связь роутера с удаленным шлюзом (или тоже роутером) посредством которой обеспечивается доступ к удаленнойсети 192.168.10.0/24. Это может быть туннель к шлюзу расположенному в Интернет или маршрут до роутера в соседнюю сеть предприятия.

Синими стрелками показаны участки прохождения трафика от хостов локальной сети UTM (10.80.1.0/16) идущие в удаленную сеть (192.168.10.0/24)через UTM (10.80.1.1), затем через роутер (10.80.1.2), и участок возвращаемого хостам локальной сети трафика непосредственно от роутера минуяUTM, что приводит к непринятию такого трафика хостами локальной сети.

Для того чтобы эта схема работала, надо вынести роутер в отдельную локальную сеть (DMZ), чтобы избежать непосредственной маршрутизации междуроутером и клиентами локальной сети. Чтобы настроить DMZ на UTM - нужно добавить еще один IP-адрес на локальный интерфейс UTM (10.90.1.0/16)к локальной сети которого подключен роутер. На роутере настроить IP-адрес из адресного пространтсва новой сети (10.90.1.2), шлюзом указатьдополнительный IP-адрес настроенный на локальном интерфейсе UTM из этой сети (10.90.1.1). Физически роутер и клиенты локальной сети будутнаходиться в одном сегменте, имея при этом разную адресацию и шлюзы.

Можно поступить иначе и физически изолировать локальную сеть клиентов UTM и роутер, подключив к Ideco дополнительную сетевую карту, настроивна ее основе дополнительный локальный интерфейс, настроить отдельную адресацию в этой сети. Шлюзом для роутера будет являться адреснастроенный на дополнительном локальном интерфейсе, физически роутер будет находиться в сегменте дополнительной сетевой карты. Но как правилосхемы с виртуальной изоляцией сетей на основе одного физического интерфейса достаточно.

Топология сети после организации DMZ на основе создания дополнительной сети (10.90.1.0/16) на локальном интерфейсе UTM проиллюстрировананиже.

Необходимые настройки на UTM

Несколько виртуальных локальных сетей на одном физическом локальном интерфейсе UTM выглядят как показано ниже.

Изолировав роутер в DMZ все готово для указания маршрута на UTM до удаленной сети за роутером.Локальная сеть клиентов имеет адресацию 10.80.1.0/16, адрес роутера в DMZ - 10.90.1.2, а удаленная сеть к которой роутер имеет доступ имеетадресацию 192.168.10.0/24. В таком случае маршрут на UTM будет следущим:

DST сеть (назначение) : 192.168.10.0/24Шлюз: 10.90.1.2

Или в виде однострочной записи для локального меню UTM:

192.168.10.0/24 10.90.1.2

При желании можно добавить SRC сеть (источник), в нашем случае "10.80.1.0/16", но не обязательно. Теперь трафик между сетями UTM (10.80.1.0/16)и 192.168.10.0/24 во всех направлениях будет идти через UTM и роутер. Непосредственной маршрутизации ни на одном участке прохождения пакетовпо маршруту не случится.

Всегда избегайте указания сети 0.0.0.0/0 в маршрутах.

Настройки на клиентских машинах

Хосты сетей которые теперь обслуживает UTM (10.80.1.0/16 и 10.90.1.0/16) физически включены в один ethernet-сегмент обслуживаемый этимлокальным интерфейсом. Шлюзом и DNS-сервером для хостов этих сетей является соответствующий своей сети адрес на локальном интерфейсе UTM.Например, для хоста с адресом 10.80.1.10 шлюзом и DNS будет являться 10.80.1.1, а для хоста с адресом 10.90.1.15 шлюзом и DNS будет являться10.90.1.1.

При добавлении новых локальных сетей (например, 192.168.0.0/24), на Ideco необходимо добавлять адрес этой сети на существующий или новыйлокальный интерфейс (например, 192.168.1.1). Этот адрес будет являться шлюзом и DNS-сервером для сетевых устройств из этого адресногопространства (например, для хоста с адресом 192.168.1.10).

Установка доверенного SSL сертификата на сервер

После покупки доверенного SSL сертификата у CA в Интернет (Certificate Authority) перед помещением его на Ideco UTM, вам нужно создатьтекстовый файл вида:

-----BEGIN PRIVATE KEY-----..........-----END PRIVATE KEY----------BEGIN CERTIFICATE-----..........-----END CERTIFICATE----------BEGIN CERTIFICATE-----..........-----END CERTIFICATE----------BEGIN CERTIFICATE-----..........-----END CERTIFICATE-----

Этот файл состоит из двух логических блоков: блок с приватным ключом и блок сертификатов, состоящий из корневого сертификата, сертификата надомен и vendor-сертификатов. Файл начинается с блока с приватным ключом, ниже следует блок с сертификатами, которые вам пришлет CA. Будьтевнимательны: помимо корневого и сертификата на домен, CA, скорее всего, вышлет и дополнительные vendor-сертификаты, так называемый bundleсертификат, состоящий из нескольких дополнительных сертификатов в одном файле (бандле). Эту связку сертификатов нужно обязательно добавитьпосле основного сертификата, выданного на ваш домен. Порядок блоков в файле можно представить так:

Приватный ключСертификат на доменСертификат из состава бандла vendor-сертификатовСертификат из состава бандла vendor-сертификатов...Основной (корневой) сертификат

После этого вы можете поместить полученный файл с приватным ключом и сертификатом на UTM через веб-интерфейс. Это осуществляется в разделе"Сервисы -> Почтовый сервер -> Общие -> ".SSL-сертификат для SMTP, IMAP, POP3

Чтобы добавить доверенный сертификат для веб-интерфейса почтового сервера, нужно изменить файл сертификата в правиле для публикациивеб-почты в разделе "Сервисы -> Обратный Прокси".

Всегда избегайте указания сети 0.0.0.0/0 в маршрутах.

С общепринятым стандартом создания файла-цепочки сертификатов можно также ознакомиться здесь: https://www.digicert.com/ssl-support/pem-ssl-creation.htm

https://www.digicert.com/ssl-support/pem-ssl-creation.htm

https://www.digicert.com/ssl-support/pem-ssl-creation.htm

Зашифрованный приватный ключ

Поддерживается только стандартный формат приватного ключа: незашифрованный (decrypted) PEM. Такой ключ начинается со строки :

Бывает, что CA выдает зашифрованный (encrypted) с помощью passphrase (фразы-пароля) приватный ключ. В таком случае вам нужно расшифровать(конвертировать) зашифрованный ключ в обычный, используя утилиту или, если CA предоставляет другие инструменты для этого,opensslвоспользоваться ими. Список параметров вызова openssl для конвертации ключа в незашифрованный вид зависит от технологии шифрования ключа уCA и должен быть описан в инструкции по установке сертификата от CA. Поместить и использовать на сервере Ideco UTM зашифрованный приватныйключ нельзя.

Настройка программы Proxifier для прямых подключений к прокси-серверу

При использовании прямых подключений к прокси-серверу выход в Интернет будет поддерживаться всеми программами, имеющими настройкипрокси-сервера (все браузеры и многое другое ПО), либо применяющие системные настройки прокси (из Internet Explorer).

Но некоторое ПО не имеет настроек прокси-сервера. Поэтому необходимо использовать специализированное ПО на конечных рабочих станциях длявывода в Интернет таких программ.

Самая популярная программа для настройки прокси-сервера: Proxifier. Скачать ее можно с .сайта разработчика

Настройка

Выполните стандартные настройки браузера для прямых подключений к прокси-серверу, а затем настройте программу для перенаправления остальноготрафика на прокси-сервер.

Пропишите в настройках прокси-сервера в Proxyfier IP-адрес локального интерфейса Ideco UTM и порт, указанный в настройке прокси для прямыхподключений (см. документацию по ). Тип протокола: HTTPS. Настройки авторизации указывать не обязательно.прокси-серверу

После добавления прокси-сервера, ответьте утвердительно на вопросы о создании правил по-умолчанию перенаправления трафика на него.

Либо эти настройки можно отредактировать позже:

Настройка закончена, программы будут выходить в Интернет через заданный прокси-сервер.

-----BEGIN RSA PRIVATE KEY-----

http://www.proxifier.com/

1. Об ideco utmОб ideco utm Шлюз безопасности ideco utm – это...

Documents