Настройка защиты межсетевым экраном IDECO UTM

БЕСПЛАТНЫЙ МАСТЕР-КЛАСС!

ДЕНЬ 1 - Какие основные навыки сисадмина?

ДЕНЬ 2 - Настройка домена Windows Server 2016

ДЕНЬ 3 - Администрирование 1С:Предприятие

 

Регистрируйтесь!

Старт уже завтра!

или запишись через ВК



95% угроз к нам приходит из сети интернет и поэтому стоит внимательно относиться к тому, какими сайтами пользуются сотрудники компании, чтобы запрещать доступ к зловредным, да и вообще иметь возможность фильтровать трафик, который идет в вашу сеть.

И в данном видео мы рассмотрим работу межсетевого экрана нового поколения IDECO UTM, который обладает мощным модулем контентной фильтрации для защиты от веб-угроз и антивирусной проверкой трафика.

 

Хотите получать свежие новости через ВК? Не вопрос, жми по ссылке: IT-Skills | Запишись в ИТ качалку

Изначально хотелось бы сказать, что разработчики данного решения позаботились о тестировании безопасности и создали сервис http://security.ideco.ru благодаря которому вы можете проверить насколько эффективна используемая вами система защиты.

nastrojka zashchity mezhsetevym ekranom ideco utm 5

В конечном итоге мы реализуем следующую систему. Поднимем виртуальный сервер IDECO UTM и интегрируем его с Active Directory, в результате чего пользователи домена будут получать доступ в интернет через сетевой экран. А уже через веб-интерфейс мы сможем мониторить всю сетевую активность и настраивать различные правила фильтрации.

Скачать дистрибутив IDECO UTM

Для начала нам потребуется скачать дистрибутив программы на сайте разработчиков https://utm.ideco.ru Кстати, вот эта анимация предельно просто и понятно объясняет суть работы программы, защита сети от внешних угроз, и блокировка трафика от посещения не связанных с работой сайтов.

Выбираем ссылку «Скачать» \ Заполняем форму регистрации \ Получаем доступ к личному кабинету на сайте, а уже оттуда загружаем дистрибутив + там же мы получаем ключ активации на 30 дней или до 40 активных пользователей.

nastrojka zashchity mezhsetevym ekranom ideco utm 3

Системные требования

Стоит учесть определенные системные требования:

Операционная система у нас будет: Linux Centos 6, 64 bit, так что при создании виртуальной машины нужно будет указать данный тип ОС.

HDD: 64Гб и более

ОЗУ: 4 Гб минимум, но желательно 8 Гб, чтобы система работала наиболее эффективно

2 сетевые карты: локальная сеть и интернет

Установка межсетевого экрана IDECO UTM

Процесс установки довольно простой, поэтому я его покажу на скриншотах + на эту тему есть подробное руководство в справочном центре (ссылка в описании)

Монтируем образ \ Выбираем пункт Установка \ Указываем часовой пояс и текущее время, важно установить правильно, для корректной работы \ Выбираем интерфейс локальной сети \ Назначаем IP и маску \ Перезагружаем \ Задаем пароль для root пользователя \ Попадаем в основное меню сервера.

nastrojka zashchity mezhsetevym ekranom ideco utm 4

Но, работать мы с ним будем через веб-интерфейс, поэтому заходим на какую-нибудь рабочую станцию в локальной сети и в браузере вводим IP адрес сервера IDECO UTM. Стоит учесть, что браузеры internet Explorer и Microsoft Edge не поддерживаются

Вводим логин и пароль по умолчанию administrator servicemode и появляется окно с первоначальными настройками.

nastrojka zashchity mezhsetevym ekranom ideco utm 5

Смена пароля администратора

Сменим стандартный пароль администратора на свой (Правила доступа \ Администратры \ Администратор \ Управление \ Замок (сменить пароль) \ Новый пароль \ Сохранить)

Настройка внешнего интерфейса

Тут нам потребуется настроить интерфейс, через который будем выходить в интернет (Сервисы \ Интерфейсы \ Свободные интерфейсы \ Настроить \ Роль: Внешний, Основной \ Название: Интернет \ Автоматическая конфигурация через DHCP, так как в моем случае я получаю интернет через коммутатор, можете указать вручную, если он у вас статический \ Сохранить \ Применить конфигурацию \ Перезагрузка \ Сервисы, проверяем что настройки корректны)

nastrojka zashchity mezhsetevym ekranom ideco utm 6

Активация сервера

Теперь активируем наш сервер, ключом, который генерируется в личном кабинете, и тут есть 2 варианта: если вы тестируете в сети где более 40 компьютеров будут подключаться к серверу, то выбираем лицензию demo, если менее, то можно лицензию SMB, она уже не имеет ограничения по времени, лишь по количеству рабочих станций. Подробности так же в личном кабинете (Перейти на страницу лицензии \ Ввести токен сервера)

Если у вас возникают какие-то проблемы или вопросы, то здесь есть подробная инструкция по каждому разделу программы (Документация)

Настройка авторизации пользователей

IDECO UTM не выпустит ни одного пользователя в интернет, пока он не будет авторизован на UTM сервере. Так как в моей ситуации сервер находится в доменной сети, то я буду авторизовать пользователей через Active Directory, если у вас не доменная сеть, то можно создать пользователей вручную. Как это сделать есть текстовая и видео инструкции.

Ввод сервера в домен

Для интеграции с Active Directory необходимо ввести сервер IDECO UTM в домен, из которого мы будем импортировать пользователей (Сервисы \ Active Directory \ Добавить домен \ Имя домена: office.loc \ DNS сервер домена \ Имя сервера IDECO UTM \ логин и пароль учетки имеющей права на присоединение компьютеров к домену \ Присоединить к домену \ Авторизация по логам: Разрешить)

nastrojka zashchity mezhsetevym ekranom ideco utm 7

Импорт пользователей из Active Directory

Теперь мы импортируем пользователей из активного каталога (Пользователи \ Добавить группу: AD \ Active Directory \ office.loc \ Группа безопасности AD \ Пользователи домена \ Сохранить). Видим, что все пользователи домена были импортированы. Каждый 15 минут сервер будет автоматически синхронизировать пользователей, так что нет необходимости повторять данную процедуру в дальнейшем.

nastrojka zashchity mezhsetevym ekranom ideco utm 8

Авторизация пользователей

Для наиболее быстрой и прозрачной авторизации пользователей настроим авторизацию по логам безопасности контроллера, причем данный функционал является уникальным среди российских решений:

1) Разрешить правило брандмауэра Удаленное управление журналом событий RPC (Панель управления \ Брандмауэр \ Дополнительные параметры \ Правила входящих подключений \ Удаленное управление журналом событий RPC \ ПКМ \ Включить)

2) Добавить сервер UTM в группу Читатели журнала событий (Диспетчер сервера \ Средства \ Пользователи и компьютеры AD \ Компьютеры \ idecoutm \ Член группы \ Добавить \ Читатели журнала событий)

3) Перезапустим службу авторизации по логам (IDECO UTM \ Сервисы \ Active Directory \ Авторизация по логам \ Убрать и поставить галочку: Разрешить)

4) Так как у меня раньше компьютеры выходили в интернет через контроллер домена, то нужно изменить шлюз в настройках сетевых подключений компьютеров, если у вас все раздается через DHCP, то изменим запись основного шлюза (Диспетчер серверов \ Средства \ DHCP \ server \ ipv4 \ Область \ Параметры области \ Маршрутизатор \ 192.168.0.22 \ Добавить \ Старый удалить \ Применить)

Тестирование работы межсетевого экрана

Запускаем рабочие станции, если они уже работали, то нужно перезагрузить, чтобы применились настройки DHCP сервера. Проверяем изменился ли адрес шлюза по умолчанию на адрес сервера UTM. Выполняем вход под разными учетными записями и попробуем выйти в интернет.

В разделе мониторинг, мы видим, какие пользователи у нас сейчас вышли в интернет, через отчеты можем посмотреть где пользователи «гуляли».

nastrojka zashchity mezhsetevym ekranom ideco utm 9

Допустим мы видим, что пользователь заходил на сайт одноклассники (m.ok.ru). Давайте заблокируем доступ к этому сайту

Блокировка доступа к ресурсам

Создадим правило контент фильтра (Правила доступа \ Контент фильтр \ Правила \ Черный список \ Редактировать \ Категории сайтов \ Социальные сети \ Сохранить) Пробуем зайти в одноклассники через компьютер пользователя и у нас выдается «Доступ к ресурсу заблокирован»

nastrojka zashchity mezhsetevym ekranom ideco utm 10

Если у вас есть какой-то сайт, на который вы не хотите, чтобы пользователи заходили, но его нет в запрещенных категориях, можно добавить его в черный список вручную (Пользователи и категории \ Черный список \ Редактировать \ URL *sys-team-admin.ru \ + \ Сохранить)

nastrojka zashchity mezhsetevym ekranom ideco utm 11

Другие функции программы IDECO UTM

Контроль приложений - можно запрещать доступ на уровне приложений TOR, TeamViewer

Ограничивать скорость интернета - чтобы пользователи не перетягивали на себя весь трафик

Анализ веб-трафика антивирусными решениями

Система предотвращения вторжений злоумышленниками

Ограничение квотами трафика и многое другое

Через сервис тотже сервис security.ideco.ru можете проверить, на сколько у вас изменилась ситуация по безопасности, после внедрения IDECO UTM

Благодаря IDECO UTM вы можете мониторить все, что у вас происходит при взаимодействии с внешним миром. Причем функционал позволяет создать уникальную конфигурацию, позволяющую удовлетворить ваши потребности.

Кроме того, сервисом предоставляются как текстовые, так и видео инструкции.

Вверх
Политика конфиденциальности Используя сайт вы даете согласие на обработку персональных данных