Каждый, сколь бы то ни было опытный сисадмин, замороченный на безопасности своей сетки, мечтает о так называемой волшебной коробке, которая обеспечит решение всех проблем. Такой коробкой среди шарящих членов комьюнити принято считать различные UTM решения. Сам термин родом прямиком из лохматых двухтысячных и в дословном переводе означает объединённое управление угрозами. Т.е. это действительно инструмент, по сути, защищающий вас по всем основным направлениям. В современные UTM входит контент-фильтрация для защиты от веб-угроз.

Вообще-то самый главной угрозой считаются сами пользователи.  И как бы вы не огородили технически сеть от утечек их данных, они сами зайдут на фишинговый сайт, сами введут все пароли и как миленькие скачают эксплоит на рабочую станцию.

В общем, проверка web-трафика, это святое. Помимо этого, качественный UTM должен уметь фильтровать пакеты и выступать в качестве прокси-сервера для устройств ЛВС.

Его можно назначить в качестве шлюза по умолчанию и установить на границе корпоративной сети, отгородившись тем самым от опасностей внешнего мира, словно щитом.

А опасностей, там мягко скажем не мало. Особенно учитывая нынешнюю напряжённую ситуацию, в которой все государственные и окологосударственные учреждения обязали отключить по максимуму все обновления операционок и софта с внешних серверов.

Межсетевой экран Ideco UTM — современное программное решение для защиты сетевого периметра, которое позволяет сделать доступ в интернет абсолютно управляемым, безопасным и надежным.

Загрузка и установка Ideco UTM 13

Первым делом заходим на официальный сайт компании Айдеко и скачиваем последнюю версию UTM.

Попав на страницу входа проходим несложный процесс регистрации, либо логинимся под имеющимся аккаунтов в одном из представленных сервисов. Через сервисы логинится не советую, о своей личной безопасности в сетях тоже нужно заботиться.

После загрузки записываем образ на флешку. Тут важно учесть пару нюансов. Ideco UTM в обязательно порядке требует включить для работы поддержку EFI. Т.е. старый добрый BIOS не катит. (но есть варианты :)))))

Также потребуется отключить режим Legacy загрузки (он же CSM) и деактивировать опцию Secure Boot. Для нормальной работы нужно минимум 60 свободных гигов на винте и 8 в оперативе. Без этого минимального набора дистрибутив просто не начнёт установку. Во время установки придется отвечать на некоторые вопросы, их не много.

На этом процесс установки Ideco закончен. Как видите, ничего сложного. Для удобства дальнейшей настройки можно отправить тачку в ребут ( не обязательно ) и после включения заломиться уже непосредственно по айпишнику в Web-интерфейс.

Для этого вводим в адресной строке IP адрес и порт 8443. Сама админка работает по протоколу HTTP, это нормально. Поэтому не стоит пугаться этих предупреждений.

Браузер предложит ввести данные для входа, указанные при установке Ideco. Вводим их, и входим в  панель управления.

Если же вам вдруг по каким-то причинам не хочется пока устанавливать данный UTM на гипервизор или реальный компьютер, можно воспользоваться демонстрационной версией перейдя по соответствующей ссылке в своём кабинете. Подобная услуга симуляции операционной системы есть в SUSE.

Базовая настройка Ideco UTM 13

После того, как мы попали в админ-панель, следует сразу настроить внешний сетевой интерфейс, смотрящий в глобальную сеть. Для этого переходим на вкладку «Сервисы» и нажав на плюсик выбираем пункт «Внешний Ethernet».

Далее выбираем сетевуху, смотрящую в интернет.

Вводим данные IP-адреса, маску и шлюз. DNS можно оставить по умолчанию. Либо можно воспользоваться возможностями DHCP, если у вас не статика в этой истории. Сохраняем.

Видим, что на созданном интерфейсе значок с планетой горит зелёным, а значит доступ в Инет на сервере появился.

Далее необходимо зарегистрировать лицензию сервера. Для этого на вкладке «Лицензия» кликаем по соответствующему пункту.

И авторизовавшись в личном кабинете, регистрируем созданный сервер присваивая ему статус полнофункциональной демонстрационной лицензии на 40 дней с возможностью подключить до 10 000 пользователей.

В случае, если у вас уже куплен вариант для коммерческого использования – можно воспользоваться соответствующей кнопкой для добавления уникального токена.

Добавление пользователей и авторизация

Самое время разобраться с вопросом авторизации пользователей на сервере. Для этого прежде всего следует создать им учётки. Переходим во вкладку «Пользователи», «Учётные записи» и добавляем нового юзверя.

Задаём ему имя, присваиваем логин с паролем и дополнительно задаём IP-адрес, т.к. в рамках локальной сети, проще всего авторизацию осуществлять по нему.

Включаем постоянную авторизацию по IPшнику и на этом этапе уже можно смело проверять появился ли интернет на клиенте. Главное не забудьте прописать данные сервера Ideco в качестве адреса дефолтного шлюза и DNS на рабочей машине.

Если же способ с авторизацией по IP вас не вполне устраивает ввиду постоянно растущего парка машин и используемого в сети DHCP-сервера, можно использовать вариант аутентификацией посредством веб-интерфейса. Пользователи либо будет сами вводить комбинацию логина и пароля, либо, если у вас путная сеть, эти данные будут автоматически подтягиваться из AD.

Нововведения в Ideco UTM 13

Такие дела малята. Это что касается наиболее популярных вариантов авторизации. Если же в вашей организации есть сотрудники трудящиеся на удалёнке, то для них можно включить двухфакторную аутентификацию по VPN.

Также, в новой версии шлюза Ideco разработчики внедрили маршрутизацию BGP типа. Т.е. можно скачать и использовать все доступные Интернет-маршруты.

Помимо этого, кардинальные изменения претерпела система отчётов. В ней значительно увеличилась скорость работы БД, что особенно актуально в сетях с большим числом пользователей и огромными потоками трафика.

Более подробно об этом, а также других нововведениях в 13 версии вы можете узнать, ознакомившись с часовым вебинаром на официальном канале Айдеко. Ссылку на него, я само собой, закреплю в описании.

Ну а на сим нынче всё. Обязательно напишите, какой инструмент для распределения и фильтрации трафика лично вы используете в своей рабочей сети и с какими головняками сталкиваетесь на постоянной основе.

Очень надеюсь, что обзор оказался полезным и вы отлично провели время. С вами, как обычно, был Денчик. В заключении, по традиции желаю всем досмотревшим до этой минуты удачи, успеха и самое главное, отличного настроения.

Пользуйтесь только надёжными, проверенными решениями. Поддерживайте отечественных разработчиков.