top
logo


Open-Source сетевой шлюз Untangle PDF Печать E-mail
Автор: Administrator   
02.09.10 10:48

Open-Source сетевой шлюз Untangle

 

Не смотря на все усилия компаний и специалистов, Интернет так и не стал безопасной территорией. Спам, фишинг, вирусы, компьютерные атаки и прочее это реалии с которыми приходится считаться. Первыми их на пути стоят специализированные решения.

Платформа Untangle [http://www.untangle.com/] представленная одноименной компанией (раннее Metavize) создана на основе более 30 решений с открытыми исходными текстами. Среди которых дистрибутив Knoppix, Snort, ClamAV, SpamAssasin, Squid и другие. Целью проекта Untangle является замена коммерческих решений вроде ISA Server, SonicWall или WatchGuard в небольших и средних организациях. Основная идея нового проекта дать администратору простой в настройке и управлении устанавливаемый на один компьютер инструмент, позволяющий укрепить безопасность сети. В отличие от многих подобных решений в которых присутствуют все модули защиты, в Untangle изначально ничего нет. Администратор самостоятельно выбирает необходимые ему модули защиты, которые устанавливаются уже после инсталляции основной системы (Untangle Gateway Platform). Среди них компоненты обеспечивающие маршрутизацию, фильтрацию спама, антивирусную и spyware проверку, межсетевой экран, антифишинг, обнаружение атак, контент фильтр, контроль протоколов, сервер OpenVPN и другие. Модуль Attack Blocker собственной разработки позволяет защитить сеть от DoS атак и некоторых других атак низкого уровня. Каждому компьютеру в зависимости от его активности присваивается определенный статус, хосты получившие плохую репутацию (атака, SYN flooding или сканирование портов) ограничиваются в трафике или полностью блокируется доступ к защищаемым ресурсам (расположенным в DMZ).

Система предоставляет администратору разнообразные отчеты по сетевой активности, протоколам и пользователям, инцидентам, количеству спама и обнаруженных вирусов, которые можно сохранить в файлы форматов PDF, HTML, XLS, CSV и XML. Поддерживается NAT и при наличии третьего сетевого интерфейса возможна организация DMZ. Разработчики утверждают, что при необходимости в любое время могут быть добавлены любые другие компоненты. Продукт находится в постоянном развитии, планируется добавление поддержки VoIP, улучшение поддержки VMware и других виртуальных машин. Все модули устанавливаются уже практически настроенными и готовыми к работе и обеспечивают некоторый уровень защиты. Хотя естественно администратору возможно придется подогнать их параметры под конкретные условия. Например, следует самостоятельно определить какие системы и сервисы будут доступны из внешней сети. Фильтр контента может блокировать загрузку файлов по типу MIME, расширению, категориям или URL. По умолчанию модуль Virus Blocker сканирует только входящий веб, ftp и почтовый трафик, но при необходимости можно активировать и проверку исходящего. Если есть необходимость в проверке при помощи двух антивирусов, следует установить модуль Dual Virus Blocker. Модуль Protocol Control “знает” больше чем о 90 протоколах.

Для настройки компонентов используется хотя и не локализованный, но вполне понятный графический интерфейс. Разработчики отказались от использования популярных сегодня веб-технологий в пользу Java. Как результат все изменения в консоли управления, в том числе и статистика работы, доступны в реальном времени.

Поддерживаются только Ethernet соединения со статически или динамически выдаваемым адресом и PPPoE. Как видите, здесь нет популярных сегодня ADSL, WiFi и других типов, но такой подход вполне соответствует основной задаче сервера Untangle, не организация доступа, а защита сети. Для аутентификации пользователя может использоваться встроенный LDAP сервер или средства интеграции с Active Directory. Работающая система автоматически по расписанию или после регистрации в консоли администратора проверяет наличие обновлений, хотя такое поведение можно изменить. Например отключить и обновлять выбранные компоненты вручную. Сохранить резервную копию конфигурации системы можно на жесткий диск или USB устройство.

Распространяется Untangle по двум лицензиям. Основная часть системы по лицензии GNU GPL, но есть дополнительные модули, распространяемые по коммерческой лицензии. Последняя представляет возможность технической поддержки в реальном времени, управление политиками доступа пользователей и групп, интеграцию с Active Directory, сохранение настроек на специализированном сервере для более быстрого восстановления (24-hour Replacement), а также Remote Access Portal обеспечивающий безопасный доступ ко внутренним ресурсам сети через обычный веб-браузер без установки VPN клиента. Вторым источником доходов фирмы-разработчика является продажа серверов Untangle XD Server и XD+ Server с предустановленной и настроенной системой. Для свободной версии доступна только онлайн поддержка обществом пользователей.

Системные требования

В Untangle использован Java. Отсюда и системные требования. Так для работы понадобится компьютер с Intel-совместимым процессором с частотой 1 Гц, оперативной памятью 512 Мб, жестким диском на 20 Гб и двумя сетевыми картами. Это минимальные требования, которые примерно соответствуют обслуживанию сети с 50 пользователями. Рекомендуемые требования следует умножить на 2, плюс для DMZ понадобится еще одна сетевая карта. Компьютер с такой конфигурацией сможет обслуживать уже сеть с 300 пользователями. К сожалению после многочисленных пробных установок можно заметить, что Untangle весьма привередлив к аппаратной части. Так мне не удалось запустить Untangle ни на одном компьютере с жестким диском SATA. При чем, судя по разделу “Hardware Discussion” [http://forums.untangle.com/forumdisplay.php?f=3] на форуме проекта, такая проблема возникала не только у меня. В некоторых случаях после запуска ядра появлялся просто черный экран, либо заставка, но процесс замирал дальше дело не шло. При чем это было как на старых, так и на новых компьютерах. Поэтому четко сказать, где будет работать Untangle, а где нет, я не могу. Покупать новый компьютер для установки Untangle без предварительного тестирования весьма рисковано.

Установка

ISO образ размером в 410 Мб, скачивается по ссылке с SourceForge без предварительной регистрации и других неудобств, которыми изобилуют некоторые проекты. После загрузки ядра появится окно приветствия, и далее для установки Untangle необходимо будет сделать еще четыре шага. Сначала принимаем лицензионное соглашение, затем выбираем диск. Кстати если в системе будет подключено два диска, то установщик может прекратить работу. Прочитав два раза предупреждение о том, что на выбранном диске будут уничтожены все данные, переходим к этапу проверки оборудования. После оценки производительности процессора, объема ОЗУ, жесткого диска и наличия сетевых карт будет показана оценка их соответствия минимальным и рекомендуемым требованиям.

Если компьютер не подходит под минимальные требования, появится предупреждение красного цвета, а если рекомендуемого – оранжевого. Читаем финальное предупреждение и нажимаем кнопку Finish, после чего файлы копируются на жесткий диск, дальше потребуется перезагрузка. Вот собственно и вся установка.

 

Постинсталляционная настройка

В качестве загрузчика используется Grub, что очень удобно, так как мне пришлось задавать дополнительные параметры ядру, чтобы отключить APIC. После перезагрузки вас встретит еще один мастер – Server Setup Wizard, который поможет произвести первичную настройку системы. Здесь уже 9 шагов. В следующем после приветствия окне заполняем контактную информацию (организация, адрес, e-mail, имя, фамилия и прочее). Поля отмеченные как “required” следует заполнить обязательно. Далее вводим пароль для учетной записи admin и указываем часовой пояс. На следующем шаге “Interface Test” система пытается найти сетевые устройства и выдает результирующую таблицу.

И переходим к настройке внешнего интерфейса. Здесь требуется указать имя узла, задать использование DHCP или указать статический IP-адрес компьютера, шлюза и DNS серверов, сетевую маску и учетные данные для PPPoE подключения. Очень неудобно, что никакой наводящей информации по поводу наименования сетевых устройств не предоставляется. Но как раз чтобы помочь определиться и предназначен следующий шаг мастера – Connectivity Test. В документации этот процесс описан приблизительно так – нажимаем кнопку, если соединения нет, то возвращаемся к предыдущим настройкам или перетыкаем кабель в другой разъем. Далее мастер предлагает настроить вариант использования сервера Untangle. Это может быть роутер, в этом случае будет включен NAT и DHCP, при настройках необходимо будет указать IP-адрес внутреннего интерфейса. Если сервер подключен к другому маршрутизатору или брандмауэру следует выбрать “Transparent Bridge”. Сервер Untangle может отсылать почтовые сообщения напрямую или через промежуточный SMTP сервер. Это поведение настраивается на шаге “Email Setting”. Здесь же для сообщений сервера указывается почтовый адрес который будет стоять в поле От. Нажатием кнопки можно проверить работу почты. Вот и все настройки.

Работа в Untangle

По умолчанию сразу же после установки можно управлять сервером только с локальной консоли. Основные настройки производятся при помощи клиента вызываемого нажатием “Launch Client”. В некоторых случаях можно использовать терминал, но его назначение скорее вспомогательное. Для регистрации в клиенте управления используем учетную запись admin и пароль указанный при работе Server Setup Wizard. После установки будут доступны настройки только во вкладке Config. Выбрав эту вкладку, вы получите доступ к тем же параметрам, которые указывались при начальной конфигурации. В “Remote Admin” создаются другие учетные записи для администрирования сервера, здесь же разрешается удаленное управление и настраиваются параметры доступа к серверу (адрес с которого разрешен доступ, публичный адрес ресурса, создаются сертификаты). В отдельном пункте этой же вкладки разрешается мониторинг при помощи SNMP или отсылку информации на сервер Syslog. Перейдя во вкладку “Backup/Restore” можно сохранить или восстановить настройки в файл, раздел диска или USB. После выхода из любого пункта конфигурация обновляется автоматически. В пункте Upgrade выбираются компоненты, которые следует обновить и настраивается периодичность обновления. Удаленное управлени практически ничем не отличается от работы за локальной консолью. Используя веб-браузер сначала заходим по адресу сервера, загружаем по ссылке клиент, и после регистрации перед вами предстанет аналогичное окно.


При установленном соединении с Интернет во вкладке “My Apps” будут показаны все доступные для установки компоненты. Просто выбираем то, что нужно и щелкаем мышкой. Через некоторое время компонент появится в окне справа. Нажав кнопку “Show Setting” можно уточнить его настройки. Чуть правее кнопки на каждом компоненте отображаются графики, в котором в реальном времени отображаются результат его работы (количество заблокированных сообщений, найденных вирусов и прочее). При помощи двух кнопок можно включить или отключить компонент, или просмотреть его статус: включен, включен, но есть проблемы в работе, отключен и сохраняет настройки. Настройка параметров работы любого модуля интуитивна и имея предварительный план, легко его реализовать.

Не смотря на проблемы с оборудованием и отсутствие локализации впечатления от знакомства с платформой Untangle только положительные. Перед нами качественный, простой в настройке продукт, на который можно возложить все задачи по защите сети.

 

оригинал: http://www.tux.in.ua/articles/379

Последнее обновление 04.12.10 15:56
 
Интересная статья? Поделись ей с другими:

bottom

 

Unreal Commander PfSense по русски Яндекс.Метрика