Любой бизнесмен стремится к сокращению расходов. То же самое касается и IT-инфраструктуры.
При открытии нового офиса у кого-то начинают шевелиться волосы. Ведь надо организовать:
Но поднять сеть предприятия с такими требованиями эникейщик не сможет… Нанимать дорогого сисадмина?
Вырисовывается очень крупное, по грядущим затратам, рублёвое число.
Но эти расходы можно существенно сократить, если обратить внимание на UTM-решения, которых сейчас огромное количество. А так как я придерживаюсь стратегии «чем проще — тем лучше» в решениях своих задач, то мой взор пал на UTM Интернет Контроль Сервер (ИКС).
Чем эта система поможет сохранить бюджет компании и почему для её обслуживания не нужен дорогой сисадмин — расскажу ниже.
Но забегая вперёд скажу — это специфический продукт и имеет свои ограничения. Более детально оценить возможности шлюза можно изучив документацию на оф.сайте.
Я же настраивал для статьи «по-русски», то есть не заглядывая в маны, чтобы понять на сколько всё интуитивно понятно.
Начальная установка
ИКС можно установить как на реальное железо, так в гипервизор. Можно задействовать какой-нибудь безвентиляторный ПК.
Система базируется на FreeBSD 11.3 и на большинстве оборудования должно взлететь без проблем.
Установка производится на чистый диск.
Про отказоустойчивость тоже не забыли.
Всё! Можно заходить в вэб-интерфес по ip, который указали в настройках, и порту 81. DHCP на этом этапе пока не включен, поэтому на своём ПК придётся назначить ip из этой же сети вручную.
При первом входе запускается мастер, который заставляет Вас установить надёжный пароль.
Далее лезем в настройки сети
и настраиваем подключение к нашему провайдеру и роли всех сетевых интерфейсов.
Провайдеров можно настроить несколько и организовать балансировку.
Кстати, если Вам не удобен английский язык интерфейса, то его легко можно поменять здесь.
Если требуется подключить офис, например, к головному офису.
Только о динамической маршрутизации можете забыть — её тут нет.
Может я сильно придираюсь, но ИМХО это большой недостаток…
Чаще всего основная задача шлюза — контроль доступа сотрудников в интернет.
Идентифицировать сотрудников можно как по ip/mac, так и по логину/паролю через агента или captive portal.
Также если в Вашей организации используется Active Directory, то ИКС можно интегрировать и с ним.
Настройки фильтрации (куда сотруднику можно и куда нельзя) очень обширны.
Огромное количество готовых шаблонов правил:
Но можно не ограничивать и ИКС всё равно расскажет куда кто и куда ходил своими обширными отчётами:
И гостевой вай-фай можно организовать с соблюдением требования законов РФ об обязательной идентификации пользователей.
ИКС поддерживает отправку смс по протоколу SMPP через любого SMS-провайдера.
Да-да! Не надо ставить отдельный сервер с Asterisk. Он уже есть в ИКС.
Я успешно подключил SIP от Мегафона (emotion, мультифон).
Как получить SIP от Мегафона по сотовым тарифам физлиц можно почитать в статье «SIP от Мегафона по домашнему тарифу».
В ИКС есть много инструментов, которые позволят настроить уровень безопасности по Вашим требованиям: от бесплатных антивирусов ClamAV и систем обнаружение вторжений Suricata до продуктов Евгения Касперского, настраивая только через понятны вэб-интерфейс.
Даже тот же незаменимый fail2Ban настраивается в несколько кликов
Так же ИКС может мониторить трафик по netflow протоколу с сетевого оборудования, не пропуская через себя трафик.
Коммуникацию сотрудников можно организовать не только телефонией и почтой
но и через jabber. Правда мало уже кто помнит о таком протоколе.
Web-server:
На ИКС есть даже web-server c поддержкой PHP. HTTPS сертификат можно установить свой, если есть приобретённый, или указать, чтобы ИКС получил бесплатный Let's Encrypt.
Этого достаточно для размещения сайта-визитки или рекламного лендинга. Но впилить тяжёлый портал с кастомными модулями у Вас не выйдет. И по мне — это глупо. Всё-таки шлюз должен оставаться шлюзом.
Гибкая настройка мониторинга и уведомлений.
Алярмы можно слать даже в Телеграм. А в реалиях РФ есть даже возможность слать сообщения через прокси.
Интернет-шлюз «ИКС» содержит в себе практически все компоненты, необходимые для функционирования небольшого офиса.
При этом всё это может настроить начинающий системный администратор.
Несмотря на то, что система построена ни FreeBSD, доступа по ssh к нему нет. То есть без костылей доустановить модули PHP у Вас не получится. Придётся довольствоваться тем, что есть… Или просить саппорт допилить.
При любом раскладе в начале скачайте триал на 35 дней и проверьте на сколько этот шлюз Вам подходит.
Лицензия не имеет срока действия, но несмотря на это стоимость является вполне демократичной.
На стенде в синтетических тестах система показала себя адекватно.
Если заказчик одобрит и Вам будет интересно как данная система поведёт себя в «бою», то месяцев через 3-6 напишу отзыв со всеми возникшими задачами и сложностями. Если получится, то проверим качество технической поддержки.
В комменты жду от Вас вопросы, на которые надо будет детально заострить внимание в боевом применении.
При открытии нового офиса у кого-то начинают шевелиться волосы. Ведь надо организовать:
- локальную сеть;
- выход в интернет. Лучше ещё с резервированием через второго провайдера;
- VPN до центрального офиса (или до всех филиалов);
- HotSpot для клиентов с авторизацией по sms;
- фильтрацию трафик так, чтобы сотрудники не сидели в соцсетях и не трещали в скайпе;
- защиту сеть от вирусов и атак. Обеспечить защиту от вторжений (IDS/IPS);
- свой почтовый сервер (если не доверяете всяким pdd.yandex.ru) с антивирусом и антиспамом;
- файловую помойку;
- Вероятно Вам нужна телефония, т.е. организовать АТС, подключить к SIP провайдеру и другие плюшки...
Но поднять сеть предприятия с такими требованиями эникейщик не сможет… Нанимать дорогого сисадмина?
Вырисовывается очень крупное, по грядущим затратам, рублёвое число.
Но эти расходы можно существенно сократить, если обратить внимание на UTM-решения, которых сейчас огромное количество. А так как я придерживаюсь стратегии «чем проще — тем лучше» в решениях своих задач, то мой взор пал на UTM Интернет Контроль Сервер (ИКС).
Чем эта система поможет сохранить бюджет компании и почему для её обслуживания не нужен дорогой сисадмин — расскажу ниже.
Но забегая вперёд скажу — это специфический продукт и имеет свои ограничения. Более детально оценить возможности шлюза можно изучив документацию на оф.сайте.
Я же настраивал для статьи «по-русски», то есть не заглядывая в маны, чтобы понять на сколько всё интуитивно понятно.
Начальная установка
ИКС можно установить как на реальное железо, так в гипервизор. Можно задействовать какой-нибудь безвентиляторный ПК.
Например такой.
Система базируется на FreeBSD 11.3 и на большинстве оборудования должно взлететь без проблем.
Установка производится на чистый диск.
Точнее если там что-то было, то можете смело попрощаться с этим.
К сожалению, инсталлятор поддерживает только английский язык. Но после установки основной интерфейс может быть на русском.
Про отказоустойчивость тоже не забыли.
Если в системе несколько дисков, то они могут быть объединены в рэйд средствами ZFS.
Выбираем сетевой интерфейс и назначаем ip из выбранной сети.
Доменное имя указывайте реальное, если Вы планируете поднять, например, почтовый сервер. Если такой потребности нет сейчас, то можно написать от балды. Далее в интерфейсе можно будет поправить.
Доменное имя указывайте реальное, если Вы планируете поднять, например, почтовый сервер. Если такой потребности нет сейчас, то можно написать от балды. Далее в интерфейсе можно будет поправить.
Всё! Можно заходить в вэб-интерфес по ip, который указали в настройках, и порту 81. DHCP на этом этапе пока не включен, поэтому на своём ПК придётся назначить ip из этой же сети вручную.
Подключаем к интернету и соединяем офисы.
При первом входе запускается мастер, который заставляет Вас установить надёжный пароль.
Мастер
Далее лезем в настройки сети
и настраиваем подключение к нашему провайдеру и роли всех сетевых интерфейсов.
Провайдеров можно настроить несколько и организовать балансировку.
Кстати, если Вам не удобен английский язык интерфейса, то его легко можно поменять здесь.
Если требуется подключить офис, например, к головному офису.
То создаём новое подключение
и настраиваем маршруты до ресурсов в удалённой сети.
Только о динамической маршрутизации можете забыть — её тут нет.
Может я сильно придираюсь, но ИМХО это большой недостаток…
Доступ в интернет сотрудников
Чаще всего основная задача шлюза — контроль доступа сотрудников в интернет.
Идентифицировать сотрудников можно как по ip/mac, так и по логину/паролю через агента или captive portal.
Также если в Вашей организации используется Active Directory, то ИКС можно интегрировать и с ним.
Настройки фильтрации (куда сотруднику можно и куда нельзя) очень обширны.
Огромное количество готовых шаблонов правил:
Можно разрешить youtube, но запретить загружать туда видео.
Но можно не ограничивать и ИКС всё равно расскажет куда кто и куда ходил своими обширными отчётами:
А как же гостевой Wi-Fi?
И гостевой вай-фай можно организовать с соблюдением требования законов РФ об обязательной идентификации пользователей.
ИКС поддерживает отправку смс по протоколу SMPP через любого SMS-провайдера.
Телефония.
Да-да! Не надо ставить отдельный сервер с Asterisk. Он уже есть в ИКС.
Я успешно подключил SIP от Мегафона (emotion, мультифон).
Как получить SIP от Мегафона по сотовым тарифам физлиц можно почитать в статье «SIP от Мегафона по домашнему тарифу».
Безопасность.
В ИКС есть много инструментов, которые позволят настроить уровень безопасности по Вашим требованиям: от бесплатных антивирусов ClamAV и систем обнаружение вторжений Suricata до продуктов Евгения Касперского, настраивая только через понятны вэб-интерфейс.
Даже тот же незаменимый fail2Ban настраивается в несколько кликов
Так же ИКС может мониторить трафик по netflow протоколу с сетевого оборудования, не пропуская через себя трафик.
Коммуникационные плюшки
Коммуникацию сотрудников можно организовать не только телефонией и почтой
но и через jabber. Правда мало уже кто помнит о таком протоколе.
Web-server:
На ИКС есть даже web-server c поддержкой PHP. HTTPS сертификат можно установить свой, если есть приобретённый, или указать, чтобы ИКС получил бесплатный Let's Encrypt.
Этого достаточно для размещения сайта-визитки или рекламного лендинга. Но впилить тяжёлый портал с кастомными модулями у Вас не выйдет. И по мне — это глупо. Всё-таки шлюз должен оставаться шлюзом.
Гибкая настройка мониторинга и уведомлений.
Алярмы можно слать даже в Телеграм. А в реалиях РФ есть даже возможность слать сообщения через прокси.
В заключение
Интернет-шлюз «ИКС» содержит в себе практически все компоненты, необходимые для функционирования небольшого офиса.
При этом всё это может настроить начинающий системный администратор.
Несмотря на то, что система построена ни FreeBSD, доступа по ssh к нему нет. То есть без костылей доустановить модули PHP у Вас не получится. Придётся довольствоваться тем, что есть… Или просить саппорт допилить.
При любом раскладе в начале скачайте триал на 35 дней и проверьте на сколько этот шлюз Вам подходит.
Лицензия не имеет срока действия, но несмотря на это стоимость является вполне демократичной.
На стенде в синтетических тестах система показала себя адекватно.
Если заказчик одобрит и Вам будет интересно как данная система поведёт себя в «бою», то месяцев через 3-6 напишу отзыв со всеми возникшими задачами и сложностями. Если получится, то проверим качество технической поддержки.
В комменты жду от Вас вопросы, на которые надо будет детально заострить внимание в боевом применении.
Комментарии (10)
AdmAlexus
18.12.2019 12:111. На версию ФСТЭК действующего сертификата на сайте к сожалению не нашел.
2. По «демократической стоимости»… тот же Ideco UTM в модификации Enterprise стоит, ЕМНИП, даже дешевле.
3. В документации к последней версии продукта описывать установку на VmWare ESXi 4.0.0 (текущая вроде 6.7u3) — это совсем ни в какие ворота…
И это я только поверхностно глянул на сайт
Ainamarth
18.12.2019 13:24+1Хороший продукт. Раньше активно использовал, зарекомендовал в простоте настройке и без всяких заморочек.
Shaz
19.12.2019 14:13А вы правда считаете хорошей идей навешивать это все на одну машину?
Да и причем тут «интернет-шлюз», если это реклама безполезного комбайна с бекдорами от каспера и еще черт знает кого?
dnegorov
ClearOS.
Есть платные версии и есть бесплатный community edition, есть платные и бесплатные варианты приложений (общеизвестные программы запиленные под их дистрибутив), включая того же Касперского.
На базе Centos, со всеми плюшками и совместимостями.
Если из магазина что-то не нравиться или нет желания платить, ни что не мешает поставить это-же из стандартных репозитариев. Правда уже ручками, а не через веб-морду как «родное».
slavius
ClearOS SIP и SMS тоже может?
Zentyal похож по функционалу, но тоже не умеет SIP и SMS.
dnegorov
SIP, SMS и прочей телефонии к сожалению из коробки или магазина не умеет.
Но можно все руками прикрутить, внутри это Centos 7.
Скорее всего на их форумах уже это разобрано.
В целом это добротный SOHO сервер, умеющий быть шлюзом (роутер, впн, фильтрация...), почтой, веб, бэкапом, БД, файлопомойкой, медиасервером из коробки.
LMonoceros Автор
В том то и дело, что все UTM системы надо рассматривать под конкретные задачи.
Далеко не все способны отойти от стандартной инструкции, чтобы «можно все руками прикрутить».
dnegorov
Да собственно я не возражаю и не против все-в-одном решений.
С другой стороны, если взялись что-нить рассматривать под конкретные задачи, то как бы и все-в-одном становится не нужно, ведь лучше взять отдельный инструмент под каждую задачу и с более богатыми возможностями. И тут возможность установить ручками становится ценным фактором за открытые решения. Тот же Asterisk есть в виде готовых дистрибутивов.
Если я правильно понял, ИКС это решение закрытое, не расширяемое установкой чего-то нужного (тот же пример с PHP)?
Можно ли его масштабировать если потребности переросли возможности, особенно если нужны какие-то отсутствующие функциональные возможности?
Konvergent
Так упоминалось в статье, что продукт для помощи простым эникеям, а они вряд ли смогут по отдельности все настроить… Ну и каждый раз всё заново настраивать бывает лень…
Shaz
/del