В кастинге на роль межсетевого экрана для предприятия были испытаны IDECO и ICS (Internet Control Server) — Интернет Контроль Сервер, далее просто ИКС. Они оба включены во все нужные реестры и России и Беларуси. И, опять‑таки, импортозамещение. Учитывая, что больше букв отведено ИКС, о нём и пойдёт речь в данной статье. Да и информации по нему на Хабре практически нет. IDECO хороший, просто хороший NGFW, а ICS — интересный, как минимум, количеством включенных в его состав модулей: тут не только обычный Firewall+IDS/IPS, но и сервера: почтовый, файловый, сообщений на Jabber, IP‑телефонии на Asterisk. Да, и главное отличие, ICS построен на FreeBSD, у которой в разы меньше уязвимостей (по данным сайта ФСТЭК по состоянию на 2 октября 2024 г. в UBUNTU было обнаружено 2699 уязвимостей, во FreeBSD только 77). Недавно обнаруженная уязвимость во FreeBSD была оперативно закрыта в новой версии ICS обновлением до актуальной версии кодовой базы.
Я никак не связан с компанией‑разработчиком ООО «А‑Реал Консалтинг» кроме того, что использую их продукт, приобретённый нашей организацией за полную стоимость. Статья не согласовывалась и не вносились исправления от представителей разработчика. Задавались вопросы в техническую поддержку без указания целей использования ответов. Это только личный опыт использования в работе конкретного программного продукта. В некоторых местах использовались скриншоты не с личного экземпляра ИКС чтобы не раскрывать подробности локальной сети.
ИКС выпускается и как программное, и программно-аппаратное решение. Есть версия «Стандарт», есть сертифицированная ФСТЭК (но в ней много модулей отсутствует), есть сертифицированная в Республике Беларусь, есть прямо в железе программно-аппаратный комплекс на разных процессорах.
Также есть демо‑версия, логин‑пароль для входа можно взять на сайте компании (сразу на главной странице). И будьте внимательны — при копировании логина выделяется и копируется лишний пробел. Вот так выглядит главный экран в демо‑версии.
Лично мне понравилось, что уже создана отличная справочная система по функционалу и настройкам, там и частые вопросы, и обучающий видеокурс, и архив предыдущих версий. Как говорится — все правила пишутся кровью. В данном случае — опытом вопросов в техподдержку других пользователей.
Можно просто скачать и установить полнофункциональную версию ICS, на данный момент актуальна ics-11.4.1. И уже после установки запросить регистрацию из самой программы. А можно запросить регистрацию на сайте и получить временную лицензию на 14 дней. Установить можно, как записав iso на диск, так и скачав специальный img чисто для флешки. Я вообще ставил через подключение файла ISO в удалённую загрузку.
При установке проходим стандартные диалоги выбора языка и принятия лицензии (скриншоты не нужны, правда?), по которой пользователь
имеет право на создание архивной копии отдельных программных компонентов ПО, реализуемой средствами самого ПО, предназначенной исключительно для индивидуального использования в целях восстановления компонентов ПО и информации, с которой оперирует ПО.
И, как всегда,
ПРАВООБЛАДАТЕЛЬ не несет ответственности за какой-либо ущерб, связанный с использованием или невозможностью использования ПО, включая случаи потери прибыли, денежные потери, моральный вред, ущерб здоровью или при несоблюдении требовании данного лицензионного соглашения. ПО предоставляется «КАК ЕСТЬ». Также ПРАВООБЛАДАТЕЛЬ вправе прекратить действие настоящего соглашения при несоблюдении ПОЛЬЗОВАТЕЛЕМ его положений и условий.
Лицензионное соглашение действует бессрочно, если пользователь не нарушает условия. Т.е., даже после окончания срока подписки программа не перестанет работать, просто перестанете получать обновления. Сейчас условия продления немного изменились. И, в отличие от многих, на сайте указана рекомендуемая цена за одного пользователя. Т. е. можно прикинуть сколько будет стоить необходимый пакет без регистраций, запросов и обращений к партнёрам и разработчику.
Итак, создали загрузочный носитель и начали установку. Всё почти стандартно. Стало неожиданной особенностью, что при проблемах загрузки установленной системы можно загрузиться с внешнего носителя и включить режим «Техподдержка» на этапе повторной установки.
Во время установки выбираются диски для установки, естественно с потерей данных. Настраиваются сетевые интерфейсы, в последствии настройки сети можно откорректировать из консоли и интерфейса.
Томительный этап копирования файлов, извлечение установочного носителя (у меня просто отключение файла в настройках удалённого доступа к железу), перезагрузка.
Список успешно загруженных модулей, если всё хорошо. И вот консоль ИКС сообщает, что всё готово, можно пользоваться, а вернее, начинать настраивать.
В принципе, на этом этапе можно нужно уходить от сервера на клиентскую машину. На сервере доступна только консоль.
В Настройках сети можно не только исправить неверно настроенную маршрутизацию, сетевые интерфейсы, Вкл/Выкл сетевой экран или доступ по SSH, но и даже пропинговать и от-traceroute-ить адреса в Утилитах. И это всё в Консоли.
В управлении сервером мы можем поменять пароли к вебинтерфейсу, подключить-отключить диски, сделать или восстановить полные файловые копии, очистить настройки если накосячили и не можем войти через веб-интерфейс, перезагрузить.
Считаем что всё хорошо, консоль терзать не нужно и с клиентского компьютера обращаемся по ip-адресу, который ввели для сетевой платы по 81 порту (в данном случае https://192.168.2.254:81). Но получаем предупреждение от браузера, что используется самопровозглашенный самоподписанный сертификат. Говорим, что понимаем риск, что лично знакомы с разработчиком, доверяем ему и открываем «Опасную страницу». Вводим логин-пароль по умолчанию и попадаем на главную страницу интерфейса программы.
Вид настраивается по желанию и может отображать все нужные сведения.
Дополнено. Вышло обновление и появился скрин с индикацией.
Сразу видно состояние подключения. И вот та красная точка возле гаечного ключика на левой панели меню напоминает, что есть обновления. А число возле конверта в верхнем левом углу — количество непросмотренных сообщений о последних событиях — тут и входы и действия администраторов, и автоматические обновления компонентов, и прочие существенные события. Но, к примеру, выключение/включение провайдера это не два события, а также всё, что с этим провайдером связано — и правила, и маршруты по этому подключению тоже включаются и отключаются — вроде и много, зато все точно описано.
Особенно понравилось, что многие элементы интерфейса являются ссылками для перехода к настройкам или подробным сведениям.
Основные пункты меню слева, в обычном режиме скрываемые за пиктограммами:
С чегоначинается сеть? Правильно — с организации. ИКС позволяет провести импорт пользователей и поддерживает авторизацию через Active Directory и FreeIPA, который всё больше набирает вынужденную популярность. Импортировать можно из каталога LDAP, из подготовленного файла (или сохранённого перед переустановкой), или можно просканировать сеть и получить список хостов. Но если сеть уже есть, а AD нет — то со сканирования. Вот в этом ИКС хорошо себя показал. Тут есть мастер настройки сети, но я надеюсь вы уже выросли из такого. Сканируем локальные сети — ну вы‑же их знаете и указали как локальные интерфейсы. В итоге получаем список хостов с ip и именами (если не забыли поставить птичку об использовании NETBIOS как имён пользователей). Это хорошо для такой, как у нас, небольшой сети со статическими ip. Если у вас всё как в хорошей компании — есть подключение и LDAP и AD c FreeIPA. Увы, проверить это я не смог — нет у меня AD. Но в чате пользователей ИКС на это жалоб я не увидел. Да, кстати — есть телеграмм‑чат для тех, кто пока не имеет полноценной технической поддержки. А если вы приобретаете ИКС — оперативная поддержка вообще индивидуально и по всем каналам, вплоть до их подключения к вашему серверу ИКС для разбора логов и корректировки настроек.
Итак, после сканирования сети получаем пользователей с их ip/mac. Увы, привязывать придётся буквально тыкая по пользователю и нажимая «Связать IP с MAC», но это не долго и увлекательно — я узнал заново свою небольшую (вроде) сеть. Теперь можно создать группы и растягать туда клиентов. Для групп можно задавать множество ограничений и правил. И для каждого пользователя тоже.
Вот тут важное отличие, и у ИКС интересный подход: он оперирует не хостами, а пользователями. А вот у пользователей могут быть ip/mac для авторизации, могут быть логин‑пароль, и дополнительно можно авторизовываться через специальное приложение XAuth — с ним можно блокировать протоколы и даже приложения на компьютерах клиентов сети. В нашем случае считаем, что пользователи могут получать доступ в интернет просто потому, что у них правильный IP адрес и mac. Сохранили пользователей из сканирования сети после проверки и двинулись дальше.
Что скрывается за пунктом «Монитор соединений»? Ну, конечно, отображение текущих соединений клиентов сети. Можно выбрать что отображать, по чему сортировать, какими единицами оперировать для трафика. Настраиваемость отличная. Пример из демо т.к. неприлично демонстрировать детали своей сети.
Есть набор готовых отчетов по пользователям, трафику, сайтам и проч.
Если нужно что‑то подробнее — имеется конструктор, в котором точно настраивается вид и наполнение.
В разделе «Сеть» такие пункты меню.
Можно настроить с помощью «Мастер настройки сети». Ответив на понятные неглупому пользователю, который понимает что такое PPPoE или L2TP, чем отличается DMZ от локальной сети, можно получить результат пригодный для эксплуатации. Чаще всего — даже без «доработки напильником».
Для выхода в сеть подключаем провайдера. Тут прям раздолье — от прямого подключения до сотовой сети.
Но тут нюанс — модем сотового оператора должен быть в режиме NDIS. Старые модемы 3G работать с ИКС у меня не смогли.
Естественно, ИКС умеет и в резервирование каналов: при пропадании основного включается резервный, и в балансировку — будет делить трафик по каналам. Провайдеров по VPN пока не подключал, а вот клиентов пришлось оперативно создавать. В ИКС это делается не просто, а очень просто — в сетях добавили OpenVPN сеть, назначили куда ей ходить, и в пользователях разрешили нужным клиентам подключаться.
У пользователя выгружаем OpenVPN конфиг и отдаём директору (мне пришлось оперативно подключать именно директора). И всё. На самом деле, не совсем всё – нужно было создать сертификаты для сервера и для клиента, но это настолько просто, что совсем забылось. Можно дополнительно требовать пароль. Имеется возможность включить двухфакторную авторизацию через звонок, СМС, телеграм-бот.
Есть уникальная вещь — Сетевые утилиты. Они прямо с сервера позволяют от ping`a или trace до дампа с сетевого интерфейса и скана сети — вообще ВСЁ! Сканер сети, например, построен на интегрированном Nmap 7.94. И хотя полноценной командной строки в обычном интерфейсе ИКС нет — такие инструменты приближают его к «настоящему» серверу.
В разделе «Межсетевой экран» настраиваются правила по каким протоколам на какие интерфейсы можно гулять трафику. Правила создаются и выключаются автоматически при включении/остановке служб и сервисов.
Можно прописать статические и условные маршруты. Применено и работает.
И настроить гибкую динамическую маршрутизацию. Стыдно, но не использовалось.
Стандартно настраивается DNS, DHCP — надеюсь можно обойтись без снимков экрана.
Как уже говорил — VPN настраивается очень понятно и просто — поставили птичку у пользователя и можно выгружать для него сертификат для подключения. Естественно, есть и мониторинг текущего состояния, и журнал.
Монитор ARP увидит новые устройства или смену mac‑адреса на IP, с удобным журналом и поиском.
Переходим к разделу «Защита»
Для обновлений ClamAV применяется зеркало у компании А-Реал. Работает, но к сожалению, постепенно этот антивирус теряет актуальность, и отсутствует в сертифицированной ФСТЭК версии. Более эффективным оказываются модули от Касперского.
По умолчанию правила «Межсетевой экран» уже достаточно неплохо прописаны, что позволяет использовать ИКС «из коробки», даже после работы мастера настройки сети, тем более, если настройки проверит техподдержка. Если правил много — есть поиск по правилам. Кстати, во многих разделах работает поиск, что заметно упрощает работу.
Стандартные функции типа ограничения по количеству трафика на пользователя и группу, ограничения по адресам и сайтам и прочее рассматривать не буду — естественно стандартно есть. Есть категоризатор трафика, работает так себе — может отнести сайт администрации города к развлекательным, хотя что‑то в этом есть :). Но если подключить платный Garet или Kaspersky – вроде всё лучше.
Есть WAF — WebApplicationFirewall — для защиты сайтов, размещенных на ИКС. Да‑да, ИКС может быть и вебсервером, на котором вполне могут работать сайты, естественно с поддержкой https, со своим генерируемым сертификатом. Или, если настроили REVERSE PROXY, тоже сможет защищать web‑сервисы. Есть и Application Firewall — L7 фильтр для блокировки нежелательных протоколов и даже контроля приложений, которые запущены на конечных устройствах. Правда, для контроля приложений нужно устанавливать на клиентские машины утилиту xAuth и авторизовываться в ИКС через неё.
Присутствует нужнейшая штука — Fail2Ban — после 3 (настраиваемо) неудачных попыток авторизации в сервисах ИКС, ip блокируется сначала на 10 минут, а потом с настраиваемыми множителями. И можно объединить попытки по всем анализируемым сервисам.
Интегрирована Suricata — открытая система обнаружения/предотвращения вторжений. При подключении через PPPoE работает только IDS. Можно создавать свои правила, но не напрямую, а редактируя файл и импортируя его.
Файловый сервер позволяет настроить доступ клиентов к разным папкам с разными правами. Да есть раздача прав на запись, чтение для групп и клиентов. До полноценного NTFS файлового сервера далековато, но для хранения условного Install`а с постоянно необходимым набором программ и компонентов вполне достаточно. Можно организовать свой интернет‑диск. Веб‑сервер с поддержкой PHP и раздачей прав доступа на пользователя и группу. Для каждого ресурса автоматически создаётся своя база данных. Ну и куда без FTP‑сервера. Он тоже есть. Раздел «Сетевое окружение» отвечает за интеграцию с сетями Windows — позволяет клиентам использовать сетевые ресурсы на ИКС.
Имеется почтовый сервер с уже подключенными (и работающими!) RspamD и SpamAssassin, даже ClamAV. Увы, почтовый сервер отключен в версии сертифицированной ФСТЭК. В настройках почты на сервере есть фильтры по Теме, Отправителю, Получателю. В последней версии они стали множественными. Интегрирован web‑клиент на базе Roundcube Webmail 1.6.7 с его функционалом. Фильтр по вложениям можно настроить в web‑клиенте, и он даже будет работать. Полноценный фильтр по вложениям обещают в обновлениях. Работает адресная книга и в web‑версии клиента, и в приложениях типа ThunderBird, но календаря нет. Как и во всех службах — есть журнал и поиск по событиям.
Успел еще во время тестового периода попробовать видео-конференцию, пусть и на локальных подключениях. Работает. Да, не так идеально как JitSi, но работает, и это полностью свой сервис, который не зависит от посторонних дядей. Вероятнее всего заработают и SIP-телефоны, и с видео тоже. Но проверю потом.
Jabber, увы, не успел испытать. Но в ближайших планах есть. Из справочной системы — Jabber‑аккаунты жестко связаны с почтовыми учётками.
Есть вся информация по состоянию системы и всех служб, оборудования.
Можно создавать резервные копии только настроек, со статистикой или и с содержимым почты, к которым можно вернуться в случае неверных настроек или после переустановки. Копии могут создаваться автоматически по расписанию и копироваться на внешний флеш-накопитель или FTP. Настроек много, и этим стоит один раз заняться, чтобы потом не было жаль потерянных усилий.
Отдельно в консоли можно создать полную файловую копию состояния. Поможет, если что-то совсем не так настроено или удалено, но она будет потеряна после переустановки.
В разделе «Управление питанием» можно выключить и перезагрузить, и даже задать для этого расписание. Поддерживается подключение и получение информации с источниками бесперебойного питания APC и UPC по USB и COM. Ну и, конечно, есть журнал событий.
ИКС самостоятельно может создать RAID из подключенных дисков, можно настроить где хранить почту, куда складывать резервные копии, что отдать под файловый или веб сервера.
Какой сервер без сервера времени. ИКС берёт данные со множества серверов времени и сам выступает сервером времени для своей сети.
Если идти по меню — следующий пункт — мониторинг. Это на самом деле большая и мощная машина. Позволяет отслеживать от пинга на указанный адрес до температуры системы и дисков, строит график трафика по интерфейсам, количество писем/спама. Температура дисков у меня не заработала сразу, а температура системы вполне показывается.
Дополнительно все события можно отправлять на внешний Zabbix. Можно настроить отсылку уведомлений на почту, Jabber, в Telegram.
ИКС умеет в Кластер, который обеспечивает отказоустойчивость системы и резервирование настроек. Но до такого мы пока не доросли.
В разделе Техподдержка можно включить удалённое подключение к серверу разработчика, сообщить код (порт подключения) и они помогут разобраться с проблемой, получив доступ к вашей системе.
Еще раз - это НЕ рекламный пост. Это купили и установили на предприятии сертифицированный межсетевой экран. Я всего лишь описал что и как именно у меня получилось использовать (особенно — техподдержку :) ).
После работы с ИКС стало понятно — этот продукт стоит попробовать. Возможно, это пока не абсолютно идеальный, но точно очень мощный, стабильно работающий, гибко и глубоко настраиваемый комбайн с грамотной техподдержкой.
Да, я понимаю — без демонстрации полной лёгкой бесшовной интеграции в существующую систему AD — эта статья не должна была выбраться из песочницы. Ну нет в данный момент AD :( Используем что есть.
Ну и напоследок — магнитик :) Вернее скан реального магнитика. В комментариях расскажу длительную и увлекательную историю этого изображения магнитика и приложу его фотку на реальном холодильнике. И значок ;)
P.S. Отдельное спасибо Yana за техническую поддержку и @Boomburum за справедливые замечания.
Комментарии (16)
shvedalexey
16.12.2024 13:39Может ктото пояснить логику, почему эти допфичи в виде почтового сервера, jabber и всякие sip не ставятся отдельными модулями? Зачем на корпоративном шлюзе всё это? Я более чем уверен, что это всё тянется из далеких годов, когда такой функционал был модно, стильно, молодежно. Сейчас-то это зачем.
slavius Автор
16.12.2024 13:39Я из-за наличия интегрированного почтового и сделал выбор в сторону ИКС. Ну а остальное - бонусом:) Я согласен - больше сервисов - больше точек уязвимости. Но ненужные можно отключить - службы останавливаются. Но, как мне кажется, иметь своё - лучше, чем аренодовать чужое.
Konvergent
16.12.2024 13:39Наследие, да. Распиливать монолит долго-дорого. А ещё и ФСТЕК надо готовить.
IgorShark
16.12.2024 13:39Что то, что другое это сельские поделки. Айдеко не осилили даже читабельный лог, приходится это все грузить в сием или елку какую-нибудь, чтобы нормально искать и фильтровать. Это на секундочку коммерческий ngfw. Икс как-то разворачивал пару лет назад, он вообще не работоспособный был, веб интерфейс при каких-то банальных действиях сыпал ошибками, до тестов по сути так и не дошло.
slavius Автор
16.12.2024 13:39Интерфейс не ломается точно. И логи подробные. Да, некоторые разные логи - в разных местах. Но есть лог всего. И интерфейс с поиском, и логи. Возможно, где-то хотелось-бы множественного отбора и фильтров. Но это в будущем.
slavius Автор
16.12.2024 13:39пару лет назад
С тех пор много изменилось:) никто не мешает глянуть демо, или на тест поставить. Или бесплатную на 9 пользователей.
Xalyf
16.12.2024 13:39или просто взять и использовать бесплатный Zentyal ServerDevelopment Edition или ему подобный проект. ИКС только от безысходности из за требований ФСТЕК. Вот такая вот коммерция и такая конкуренция.
slavius Автор
16.12.2024 13:39Я пробовал пару лет назад именно Zentyal:) Такой-же интересный комбайн. И, кстати, тогда у него было не всё хорошо со стабильностью, по крайней мере, у меня. И модули дааалеко не все бесплатные.
И, к тому-же:
1) Техподдержка там тоже платная, и она ТАМ
2) Согласно законодательству, я могу применять средства защиты информационных систем только сертифицированные ТУТ. Ну или в реестре.
orlnet
16.12.2024 13:39Так же стоит на стареньком sophos на 8 юзеров, работает отлично уже пару лет, гоняет трафик, антивирус, а больше для дома не надо.
slavius Автор
16.12.2024 13:39Ну, Sophos теперь уже и не скачать... И с российских IP-адресов активироваться не хочет. А он обновляется, антивирус там?;)
https://alekseycheremnykh.ru/post/sophos-xg-firewall-home-edition/
Оттуда:
Вывод
Для того, чтобы сформировать своё мнение, вам достаточно посмотреть скриншоты. Лично моё мнение такое: это крайне некачественный продукт с большим количеством политизированности и пиара. Каждая функция написана спустя рукава. Для Sophos XG Firewall очень много эксплоитов...
Xalyf
Использовал данный продукт на платной лицензии в двух организациях. Но все имеет свои пределы, и терпение то же. Из личного опыта использования огромный плюс поддержке данного продукта. На мой взгляд поддержка это сильная сторона ИКС. Все плюсы простоты установки и настройки нивелируются недостатками данного программного обеспечения. Эти недостатки значимы, не исправляются и из года в год, переходят от версии к версии. Продукт не зрелый, в какой то момент его использования я почувствовал себя бета тестером. Далее по существу, вдруг архитектор продукта решит почитать критику. Первый существенный минус это недостаточно гибкости в настройке правил прокси сервера. А именно, отсутствие возможности указать порядок выполнения разрешающих и запрещающих правил прокси для пользователя при отсутствии поддержки исключений в синтаксисе написания регулярных выражений не дает возможности реализовать, например, такую простую схему - пользователю разрешено из всего интернета пользоваться только сервисами yandex, всеми сервисами яндекс кроме яндекс диск. Без костылей эту схему правилами прокси не реализовать. Состав продукта вызывает вопросы. Если это "все в одном флаконе", то включите в продукт Samba DC. Это напрашивалось еще вчера. Не включили, и в планах нет). Телефония в этом продукте явно лишняя, поскольку для большой организации нужен выделенный сервер телефонии, а маленькая организация будет пользоваться виртуальной АТС или еще более простое решение. Еще удивляет ценообразование лицензий ИКС. Частная школа в РФ, к примеру, может (могла) пользоваться льготными (для образования) лицензиями Microsoft, Kaspersky для школ, Google Workspace вообще бесплатно. А ИКС по цене коммерческой лицензии. Такое было не всегда, на заре становления ИКС для частной школы была по льготной цене. Продукт в своем развитии буксует. На фоне санкций, можно расти и развивать свой продукт. Но нет. На первом месте срубить капусты. С таким подходом, когда снимут санкции, никто не вспомнит про ИКС.
slavius Автор
Обычно не рекомендуют объединять домен с остальными сервисами. Хотя, и файловый с прокси тоже:) Только если хранить не критическую информацию на файловом сервере.
А по правилам прокси - именно такое хитрое "простое" не приходилось. Но если нужно было мне не понятное - просил помощи и изучал как сделано, просил разъяснить. Вроде срабатывало, и потом уже сам.
Ну и да, для школ, вузов - я тоже предположил-бы наличие скидок. Возможно, они опасаются, что потом будет много запросов на ТП от тамошних "администраторов".
Konvergent
Интересно, как он 15 лет без санкций то жил... Вы сами то без "капусты" как развиваетесь? На бесплатных курсах или вам книги за так отдают по профессии?
Shaman_RSHU
Лет 15 назад он жил исключительно в ГОСах. Там немного другой подход, чем на открытом рынке.