Настройка IDECO UTM 8

Настройка доступа в Интернет через межсетевой экран IDECO UTM 8. В данном видео рассмотрим процесс установки и настройки шлюза безопасности IDECO UTM 8 для подключения пользователей к сети Интернет через IP-адрес и веб-авторизацию.

Регистрируйся на следующий вебинар по системному администрированию!

>> Подробнее о вебинаре <<

В установке новой версии появились небольшие тонкости, так что я покажу еще раз как все устанавливается, на примере моей тестовой среды. Но, так как мы уже рассматривали в версии 7 процесс настройки авторизации доменных пользователей, для выхода в сеть интернет через сервер IDECO UTM, то в данном видео предлагаю рассмотреть настройку авторизации через IP адрес и веб-интерфейс.

Зачем?

Во-первых, так мы сможем понять, как авторизовать пользователей в рамках одноранговой сети, без Active Directory.

Во-вторых, довольно часто в доменной сети используются компьютеры, которые не подключены к домену по различным соображениям. Допустим компьютеры сотрудников, которые должны лишь частично использовать ресурсы локальной сети и нет необходимости заводить для них доменных пользователей (охранник на проходной и т.д.) + мобильные ноутбуки, так как они подключаются к разным сетям (дома, на работе, в командировке), то тут тоже авторизоваться под доменным пользователем не вариант, а значит нужно настроить доступ и контроль подобных устройств в интернет другим способом.

Установка IDECO UTM 8

Чтобы скачать дистрибутив регистрируемся на https://my.ideco.ru \ переходим в раздел Ideco UTM \ Скачать и скачиваем дистрибутив \ Инструкция \ Общие \ Системные требования \ Подробнее о версии, чтобы убедиться, что у вас система потянет такой софт.

Обязательные условия для работы с Ideco UTM 8.0:

1. 1.Поддержка UEFI.
2. 2.Выключить режим Legacy загрузки, он может называться CSM (Compatibility Support Module) режим.
3. 3.Выключить опцию Secure Boot в UEFI.
4. 8 Гб ОЗУ
5. 64 Гб HDD
6. 2 сетевые карты
7. Минимум 2 ядерный процессор

Создаем виртуальную машину, в моем случае через виртуализацию VMWare (Файл \ Новая виртуальная машина \ Выборочно \ Я установлю операционную систему позже, так как если мы укажем путь к дистрибутиву, у нас автоматически не появятся дополнительные настройки без которых не получится установить IDECO UTM \ Выбор гостевой операционной системы \ Windows 10, так как благодаря этому, мы сможем выбрать тип прошивки BIOS или UEFI, а это крайне важно для данной версии \ UEFI без Безопасная загрузка, иначе не установиться дистрибутив \ ОЗУ 8, хотя раньше можно было обойтись 4Гб, если будет меньше, то просто не будет устанавливаться дистрибутив \ Только сеть узла \ Жесткий диск 70 Гб, так как минимум 64 Гб \ Сохранить в виде одного файла \ Готово)

Нужно добавить вторую сетевую карту, которая смотрит в интернет (ПКМ \ Параметры виртуальной машины \ Добавить \ Сетевой адаптер \ Тип Мост, так у меня будет браться интернет непосредственно с роутера \ ОК)

Если вы забыли это сделать, ничего страшного, можно будет добавить позже через веб-интерфейс сервера, однако сетевая карта для локальной сети должна быть обязательно!

Монтируем дистрибутив (ПКМ \ Параметры виртуальной машины \ CD/DVD \ Образ)

Запускаем виртуальную машину (Install Ideco UTM 8.5 in basic graphics mode \ Выбираем диск \ Часовой пояс Новокузнецк, так как у меня другие виртуалки тоже поэтому часовому поясу работают, а время должно совпадать, это очень важно \ Выбираем сетевую карту для локального интерфейса \ 192.168.0.10/24 \ Интернет сетевой интерфейс \ Пошла установка)

Логин administrator пароль servicemode

После перезагрузки нам выдается адрес, по которому мы можем попасть в веб-интерфейс, для дальнейшей настройки, как вы видите, тут не стандартный порт 8443.

Настройка рабочих станций

Мой полигон настроен следующим образом. Однаранговая сеть, где 10 раздает интернет на остальные компьютеры в сети, в частности 7.

Так как теперь за раздачу интернета будет отвечать IDECO UTM сервер, то нужно поменять настройки. Убрать сетевую карту, которая раздает интернет в 10, а далее, в настройках изменим Шлюз, на IP адрес межсетевого шлюза IDECO. Но, это мы сделаем, когда будем тестировать доступ в интернет.

Настройка сервера IDECO UTM

Пропингуем сервер IDECO, чтобы убедиться, что он находится в той же сети и виден для других компьютеров (Выполнить \ cmd \ ping 192.168.0.10)

Подключаемся по указанному адресу \ https://192.168.0.10:8443 \ Получить доступ не безопасно, просто браузеру не известен сертификат через который выполняется подключение. При желании, его можно добавить в хранилище сертификатов \ Логин administrator пароль servicemode \ Сервисы \ Сертификаты \

Поменяем пароль по умолчанию на свой (Управление сервером \ Администраторы \ Сменить пароль \ Перелогинимся)

Первым делом у нас выдаются ошибки, связанные с доступов в меню сервера непосредственно на сервере, настройкой сетевой карты, которая смотрит в сеть интернет и лицензией.

1. Пароль пользователя root. Входим непосредственно на сервер (ОК \ Установить пароль \ Теперь мы можем получать доступ к меню сервера, тут допустим можно сервер перезагрузить)
2. Настроим интернет (Сервисы \ Сетевые интерфейсы \ Сетевые карты, если вы не подключили сетевую карту, то подключите её и перезагрузите сервер IDECO UTM \ Выбираем сетевую карту с состоянием «Не используется» \ Назад \ Добавить \ Внешний Ethernet \ Выбираем внешнюю сетевую карту \ Выбрать \ Автоматическая конфигурация через DHCP, если нужно, можете настроить вручную \ ОК \ Выполняется подключение \ Соединение с интернет установлено)

Чтобы проверить, что сервер действительно имеет доступ в Интернет. В данной версии это можно сделать прям через веб-интерфейс сервера (Управление сервером \ Консоль \ ping my.ideco.ru или 8.8.8.8)

3. Настройка лицензии (Главная страница IDECO \ Лицензия \ Сервер не зарегистрирован \ Зарегистрировать \ Входим в личный кабинет, от куда скачивали дистрибутив \ Ideco UTM \ Лицензия \ Зарегистрировать новый сервер \ Сервер зарегистрирован под лицензией enterprise-demo на 40 дней с полным набором функций.

Можно так же потом указать SMB лицензию на 20 пользователей, но там есть существенные ограничения по функционалу.

Active Directory                                Выключен

Kaspersky Anti-Virus для Web      Выключен

Kaspersky Anti-Virus для Mail       Выключен

Контроль приложений                Выключен

Предотвращение вторжений    Выключен

Расширенный контент фильтр  Выключен

Причем, обратно уже вернуть полноценную демо версию не получится L Так что будем тестировать enterprise-demo

Настройка авторизации на для доступа в интернет

Первым делом, нам нужно указать в сетевых настройках клиентских компьютеров, в качестве шлюза, IP-адрес сервера, который раздает интернет (Свойства \ IPv4 \ Шлюз: 192.168.0.10 \ ДНС: 192.168.0.10)

Однако, у нас все равно не получается выйти в сеть Интернет, так как на сервере еще не настроены правила, кого можно выпускать во внешний мир, а кого нет.

Авторизация через IP-адрес

Первым делом нужно добавить пользователя (Пользователи \ Добавить \ Имя пользователя: Проходная; Логин: prohodnaya; автоматический пароль \ Сохранить)

Добавляем авторизацию через IP (Переходим в пользователя \ Проходная \ Дополнительные настройки \ Использовать авторизацию по IP \ Постоянная авторизация по IP \ 192.168.0.6 \ Получить MAC по IP, на тот случай, если данный адрес будет присвоен другому компьютеру, то по MAC адресу мы сможем правильно аутентифицировать компьютер \ Сохранить)

Пробуем зайти на сайт однокласники, все отлично, интернет есть.

Меняем IP адрес и доступа в интернет нет и выдается сообщение, Доступ запрещен.

Авторизация через веб-интерфейс

Включим функцию авторизации через веб (Сервисы \ Авторизация пользователей \ Включить: Веб-авторизация \ Авторизация через веб-интерфейс \ Тайм-аут разавторизации: 15 минут, т.е. если пользователь не пользуется интернетом в течении 15 минут, то при подключении будет вновь запрашиваться логин и пароль \ Сохранить)

Создадим пользователя, под которым будет авторизоваться сотрудник через браузер (Пользователи \ Добавить \ Имя пользователя: Прорабская; Логин: prorab; Пароль \ Сохранить)

Настраиваем клиентский компьютер (Сетевые настройки \ Свойства \ IPv4 \ Шлюз: 192.168.0.10 \ ДНС: 192.168.0.10)

Заходим в браузер и пытаемся зайти на сайт

Какие же основные нововведения в 8 версии:

- Новый веб-интерфейс администрирования.

- Маршрутизация веб-трафика согласно пользовательским маршрутам (по источнику и назначению).

- Правила файервола применяются и к веб-трафику (80 и 443 портам).

- Терминал доступа в веб-интерфейсе, это мы уже успели проверить (с возможностью выполнения сетевой диагностики различными командами ping, mtr, host, tcpdump, просмотра логов и др.).

- Новые правила файервола применяются автоматически, без необходимости разрыва текущих соединений.

- Объекты IP-адреса, сети и др. можно использовать в правилах контент-фильтра, контроля приложений и ограничения полосы пропускания.

- Обновлены модули: системы предотвращения вторжений, Файервола веб приложений, прокси-сервера

- Новая реализация балансировки и резервирования каналов. Кстати, так как меня периодически просят рассмотреть тему резервирования интернет каналов и автоматического переключения между ними, то данную тему я тоже планирую рассмотреть на примере того, как это реализовано в Айдеко.

Севостьянов Антон

• Посмотреть профиль
• (Registered Users)

Стать читателем

0