Open-Source мережевий шлюз Untangle
Стаття написана для журналу Системний адміністратор
Не дивлячись на всі зусилля компаній і фахівців, Інтернет так і не став безпечною територією. Спам, фішинг, віруси, комп'ютерні атаки та інше це реалії з якими доводиться рахуватися. Першими їх на шляху стоять спеціалізовані рішення.
Платформа Untangle представлена однойменною компанією (раннє Metavize) створена на основі більш 30 рішень з відкритими вихідними текстами. Серед яких дистрибутив Knoppix, Snort, ClamAV, SpamAssasin, Squid і інші. Метою проекту Untangle є заміна комерційних рішень на кшталт ISA Server, SonicWall або WatchGuard в невеликих і середніх організаціях. Основна ідея нового проекту дати адміністраторам простий в налаштуванні і управлінні встановлюється на один комп'ютер інструмент, що дозволяє зміцнити безпеку мережі. На відміну від багатьох подібних рішень в яких присутні всі модулі захисту, в Untangle спочатку нічого немає. Адміністратор самостійно вибирає необхідні йому модулі захисту, які встановлюються вже після інсталяції основної системи (Untangle Gateway Platform). Серед них компоненти забезпечують маршрутизацію, фільтрацію спаму, антивірусну і spyware перевірку, міжмережевий екран, антифішинг, виявлення атак, контент фільтр, контроль протоколів, сервер OpenVPN і інші. Модуль Attack Blocker власної розробки дозволяє захистити мережу від D oS атак і деяких інших атак низького рівня. Кожному комп'ютеру в залежності від його активності присвоюється певний статус, хости отримали погану репутацію (атака, SYN flooding або сканування портів) обмежуються в трафіку або повністю блокується доступ до ресурсів, що захищаються (розташованим в DMZ).
Система надає адміністратору різноманітні звіти по мережевої активності, протоколам і користувачам, інцидентів, кількості спаму і виявлених вірусів, які можна зберегти в файли форматів PDF, HTML, XLS, CSV і XML. Підтримується NAT і при наявності третього мережевого інтерфейсу можлива організація DMZ. Розробники стверджують, що при необхідності в будь-який час можуть бути додані будь-які інші компоненти. Продукт знаходиться в постійному розвитку, планується додавання підтримки VoIP, поліпшення підтримки VMware і інших віртуальних машин. Всі модулі встановлюються вже практично налаштованими і готовими до роботи і забезпечують певний рівень захисту. Хоча природно адміністратору можливо доведеться підігнати їх параметри під конкретні умови. Наприклад, слід самостійно визначити які системи і сервіси будуть доступні з зовнішньої мережі. Фільтр контенту може блокувати завантаження файлів за типом MIME, розширенню, категоріям або URL. За замовчуванням модуль Virus Blocker сканує тільки входить веб, ftp і поштовий трафік, але при необхідності можна активувати і перевірку вихідного. Якщо є необхідність в перевірці за допомогою двох антивірусів, слід встановити модуль Dual Virus Blocker. Модуль Protocol Control "знає" більше ніж про 90 протоколах.
Для настройки компонентів використовується хоча і не локалізований, але цілком зрозумілий графічний інтерфейс. Розробники відмовилися від використання популярних сьогодні веб-технологій на користь Java. Як результат все зміни в консолі управління, в тому числі і статистика роботи, доступні в реальному часі.
Підтримуються тільки Ethernet з'єднання зі статично або динамічно видаються адресою і PPPoE. Як бачите, тут немає популярних сьогодні ADSL, WiFi і інших типів, але такий підхід цілком відповідає основному завданню сервера Untangle, що не організація доступу, а захист мережі. Для аутентифікації користувача може використовуватися вбудований LDAP сервер або засоби інтеграції з Active Directory. Працююча система автоматично за розкладом або після реєстрації в консолі адміністратора перевіряє наявність оновлень, хоча така поведінка можна змінити. Наприклад відключити і оновлювати вибрані компоненти вручну. Зберегти резервну копію конфігурації системи можна на жорсткий диск або USB пристрій.
Поширюється Untangle за двома ліцензіями. Основна частина системи за ліцензією GNU GPL, але є додаткові модулі, поширювані за комерційною ліцензією. Остання представляє можливість технічної підтримки в реальному часі, управління політиками доступу користувачів і груп, інтеграцію з Active Directory, збереження налаштувань на спеціалізованому сервері для більш швидкого відновлення (24-hour Replacement), а також Remote Access Portal забезпечує безпечний доступ до внутрішніх ресурсів мережі через звичайний веб-браузер без установки VPN клієнта. Ще одне джерело доходів фірми-розробника є продаж серверів Untangle XD Serverі XD + Server з попередньо встановленою та налагодженою системою. Для вільної версії доступна тільки онлайн підтримка суспільством користувачів.
Системні вимоги
У Untangle використаний Java. Звідси і системні вимоги. Так для роботи знадобиться комп'ютер з Intel-сумісним процесором з частотою 1 Гц, оперативною пам'яттю 512 Мб, жорстким диском на 20 Гб і двома мережевими картами. Це мінімальні вимоги, які приблизно відповідають обслуговування мережі з 50 користувачами. Рекомендовані вимоги слід помножити на 2, плюс для DMZ знадобиться ще одна мережева карта. Комп'ютер з такою конфігурацією зможе обслуговувати вже мережу з 300 користувачами. На жаль після численних пробних установок можна помітити, що Untangle вельми вибагливий до апаратної частини. Так мені не вдалося запустити Unta ngle ні на одному комп'ютері з жорстким диском SATA. При чому, судячи по розділу "Hardware Discussion" [http://forums.untangle.com/forumdisplay.php?f=3] на форумі проекту, така проблема виникала не тільки у мене. У деяких випадках після запуску ядра з'являвся просто чорний екран, або заставка, але процес завмирав далі справа не йшла. При чому це було як на старих, так і на нових комп'ютерах. Тому чітко сказати, де буде працювати Untangle, а де ні, я не можу. Купувати новий комп'ютер для установки Unta ngle без попереднього тестування вельми ризиковано.
установка
ISO образ розміром в 410 Мб, скачується по посиланню з SourceForge без попередньої реєстрації та інших незручностей, якими рясніють деякі проекти. Після завантаження ядра з'явиться запрошення, і далі для установки Untangle необхідно буде зробити ще чотири кроки. Спочатку приймаємо ліцензійну угоду, потім вибираємо диск. До речі якщо в системі буде підключено два диска, то установник може припинити роботу. Прочитавши два рази попередження про те, що на вибраному диску будуть знищені всі дані, переходимо до етапу перевірки обладнання. Після оцінки продуктивності процесора, обсягу ОЗУ, жорсткого диска і наявності мережевих карт буде показана оцінка їх відповідності мінімальним і рекомендованим вимогам.
Якщо комп'ютер не підходить під мінімальні вимоги, з'явиться попередження червоного кольору, а якщо рекомендованого - оранжевого. Читаємо фінальне попередження і натискаємо кнопку Finish, після чого файли копіюються на жорсткий диск, далі буде потрібно перезавантаження. Ось власне і вся установка.
Постінсталляціонная настройка
Як завантажувача використовується Grub, що дуже зручно, так як мені довелося ставити додаткові параметри ядру, щоб відключити APIC. Після перезавантаження вас зустріне ще один майстер - Server Setup Wizard, який допоможе провести первинну настройку системи. Тут вже 9 кроків. У наступному після привітання вікні заповнюємо контактну інформацію (організація, адреса, e-mail, ім'я, прізвище та інше). Поля відмічені як "required" слід заповнити обов'язково. Далі вводимо пароль для облікового запису admin і вказуємо часовий пояс. На наступному кроці "Interface Test" система намагається знайти мережеві пристрої і видає результуючу таблицю.
І переходимо до налаштування зовнішнього інтерфейсу. Тут потрібно вказати ім'я вузла, задати використання DHCP або вказати статичний IP-адресу комп'ютера, шлюзу і DNS серверів, мережеву маску і облікові дані для PPPoE підключення. Дуже незручно, що ніякої наводить інформації з приводу найменування мережевих пристроїв не надається. Але як раз щоб допомогти визначитися і призначений наступний крок майстра - Connectivity Test. У документації цей процес описаний приблизно так - натискаємо кнопку, якщо з'єднання немає, то повертаємося до попередніх налаштувань або перетикати кабель в інший кінець. Далі майстер пропонує налаштувати варіант використання сервера Untangle. Це може бути роутер, в цьому випадку буде включений NAT і DHCP, при налаштуваннях необхідно буде вказати IP-адресу внутрішнього інтерфейсу. Якщо сервер підключений до іншого маршрутизатора або брандмауера слід вибрати "Transparent Bridge". Сервер Untangleможет відсилати електронні листи безпосередньо або через проміжний SMTP сервер. Це поведінка налаштовується на кроці "Email Setting". Тут же для повідомлень сервера вказується поштова адреса який буде стояти в поле Від. Натисканням кнопки можна перевірити роботу почти.Вот і всі налаштування.
Робота в Untangle
За замовчуванням відразу ж після установки можна управляти сервером тільки з локальної консолі. Основні настройки проводяться за допомогою клієнта викликається натисканням "Launch Client". У деяких випадках м ожно використовувати термінал, але його призначення швидше допоміжне. Для реєстрації в клієнті управління використовуємо обліковий запис admin і пароль вказаний при роботі Server Setup Wizard. Після установки будуть доступні настройки тільки у вкладці Config. Вибравши цю вкладку, ви отримаєте доступ до тих же параметрах, які вказувалися при початковій конфігурації. В "Remote Admin" створюються інші облікові записи для адміністрування сервера, тут же дозволяється віддалене управління і налаштовуються параметри доступу до сервера (адреса з якого дозволений доступ, публічний адресу ресурсу, створюються сертифікати). В окремому пункті цієї ж вкладки дозволяється моніторинг за допомогою SNMP або відсилання інформації на сервер Syslog. П ерейдя у вкладку "Backup / Restore" можна зберегти або відновити настройки в файл, розділ диска або USB. Після виходу з будь-якого пункту конфігурація оновлюється автоматично. У пункті Upgrade вибираються компоненти, які слід оновити і налаштовується періодичність оновлення. Віддалене управління підприємств практично нічим не відрізняється від роботи за локальної консоллю. Використовуючи веб-браузер спочатку заходимо за адресою сервера, завантажуємо по посиланню клієнт, і після реєстрації перед вами постане аналогічне вікно.
Коли встановлюється з Інтернет у вкладці "My Apps" будуть показані всі доступні для установки компоненти. Просто вибираємо те, що потрібно і клацаємо мишкою. Через деякий час компонент з'явиться у вікні праворуч. Натиснувши кнопку "Show Setting" можна уточнити його налаштування. Трохи правіше кнопки на кожному компоненті відображаються графіки, в якому в реальному часі відображаються результат його роботи (кількість заблокованих повідомлень, знайдених вірусів та інше). За допомогою двох кнопок можна включити або відключити компонент, або обрати перегляд його статус: включений, включений, але є проблеми в роботі, відключений і зберігає настройки. Налаштування параметрів роботи будь-якого модуля інтуїтивна і маючи попередній план, легко його реалізувати.
Не дивлячись на проблеми з обладнанням і відсутність локалізації враження від знайомства з платформою Untangle тільки позитивні. Перед нами якісний, простий в налаштуванні продукт, на який можна покласти все завдання щодо захисту мережі.
Php?