Настройка IDECO UTM 8 | Доступ в Интернет через IP и веб-авторизацию
Настройка доступа в Интернет через межсетевой экран IDECO UTM 8. В данном видео рассмотрим процесс установки и настройки шлюза безопасности IDECO UTM 8 для подключения пользователей к сети Интернет через IP-адрес и веб-авторизацию.
Регистрируйся на следующий вебинар по системному администрированию!
>> Подробнее о вебинаре <<
В установке новой версии появились небольшие тонкости, так что я покажу еще раз как все устанавливается, на примере моей тестовой среды. Но, так как мы уже рассматривали в версии 7 процесс настройки авторизации доменных пользователей, для выхода в сеть интернет через сервер IDECO UTM, то в данном видео предлагаю рассмотреть настройку авторизации через IP адрес и веб-интерфейс.
Зачем?
Во-первых, так мы сможем понять, как авторизовать пользователей в рамках одноранговой сети, без Active Directory.
Во-вторых, довольно часто в доменной сети используются компьютеры, которые не подключены к домену по различным соображениям. Допустим компьютеры сотрудников, которые должны лишь частично использовать ресурсы локальной сети и нет необходимости заводить для них доменных пользователей (охранник на проходной и т.д.) + мобильные ноутбуки, так как они подключаются к разным сетям (дома, на работе, в командировке), то тут тоже авторизоваться под доменным пользователем не вариант, а значит нужно настроить доступ и контроль подобных устройств в интернет другим способом.
Установка IDECO UTM 8
Чтобы скачать дистрибутив регистрируемся на https://my.ideco.ru \ переходим в раздел Ideco UTM \ Скачать и скачиваем дистрибутив \ Инструкция \ Общие \ Системные требования \ Подробнее о версии, чтобы убедиться, что у вас система потянет такой софт.
Обязательные условия для работы с Ideco UTM 8.0:
- 1.Поддержка UEFI.
- 2.Выключить режим Legacy загрузки, он может называться CSM (Compatibility Support Module) режим.
- 3.Выключить опцию Secure Boot в UEFI.
- 8 Гб ОЗУ
- 64 Гб HDD
- 2 сетевые карты
- Минимум 2 ядерный процессор
Создаем виртуальную машину, в моем случае через виртуализацию VMWare (Файл \ Новая виртуальная машина \ Выборочно \ Я установлю операционную систему позже, так как если мы укажем путь к дистрибутиву, у нас автоматически не появятся дополнительные настройки без которых не получится установить IDECO UTM \ Выбор гостевой операционной системы \ Windows 10, так как благодаря этому, мы сможем выбрать тип прошивки BIOS или UEFI, а это крайне важно для данной версии \ UEFI без Безопасная загрузка, иначе не установиться дистрибутив \ ОЗУ 8, хотя раньше можно было обойтись 4Гб, если будет меньше, то просто не будет устанавливаться дистрибутив \ Только сеть узла \ Жесткий диск 70 Гб, так как минимум 64 Гб \ Сохранить в виде одного файла \ Готово)
Нужно добавить вторую сетевую карту, которая смотрит в интернет (ПКМ \ Параметры виртуальной машины \ Добавить \ Сетевой адаптер \ Тип Мост, так у меня будет браться интернет непосредственно с роутера \ ОК)
Если вы забыли это сделать, ничего страшного, можно будет добавить позже через веб-интерфейс сервера, однако сетевая карта для локальной сети должна быть обязательно!
Монтируем дистрибутив (ПКМ \ Параметры виртуальной машины \ CD/DVD \ Образ)
Запускаем виртуальную машину (Install Ideco UTM 8.5 in basic graphics mode \ Выбираем диск \ Часовой пояс Новокузнецк, так как у меня другие виртуалки тоже поэтому часовому поясу работают, а время должно совпадать, это очень важно \ Выбираем сетевую карту для локального интерфейса \ 192.168.0.10/24 \ Интернет сетевой интерфейс \ Пошла установка)
Логин administrator пароль servicemode
После перезагрузки нам выдается адрес, по которому мы можем попасть в веб-интерфейс, для дальнейшей настройки, как вы видите, тут не стандартный порт 8443.
Настройка рабочих станций
Мой полигон настроен следующим образом. Однаранговая сеть, где 10 раздает интернет на остальные компьютеры в сети, в частности 7.
Так как теперь за раздачу интернета будет отвечать IDECO UTM сервер, то нужно поменять настройки. Убрать сетевую карту, которая раздает интернет в 10, а далее, в настройках изменим Шлюз, на IP адрес межсетевого шлюза IDECO. Но, это мы сделаем, когда будем тестировать доступ в интернет.
Настройка сервера IDECO UTM
Пропингуем сервер IDECO, чтобы убедиться, что он находится в той же сети и виден для других компьютеров (Выполнить \ cmd \ ping 192.168.0.10)
Подключаемся по указанному адресу \ https://192.168.0.10:8443 \ Получить доступ не безопасно, просто браузеру не известен сертификат через который выполняется подключение. При желании, его можно добавить в хранилище сертификатов \ Логин administrator пароль servicemode \ Сервисы \ Сертификаты \
Поменяем пароль по умолчанию на свой (Управление сервером \ Администраторы \ Сменить пароль \ Перелогинимся)
Первым делом у нас выдаются ошибки, связанные с доступов в меню сервера непосредственно на сервере, настройкой сетевой карты, которая смотрит в сеть интернет и лицензией.
- Пароль пользователя root. Входим непосредственно на сервер (ОК \ Установить пароль \ Теперь мы можем получать доступ к меню сервера, тут допустим можно сервер перезагрузить)
- Настроим интернет (Сервисы \ Сетевые интерфейсы \ Сетевые карты, если вы не подключили сетевую карту, то подключите её и перезагрузите сервер IDECO UTM \ Выбираем сетевую карту с состоянием «Не используется» \ Назад \ Добавить \ Внешний Ethernet \ Выбираем внешнюю сетевую карту \ Выбрать \ Автоматическая конфигурация через DHCP, если нужно, можете настроить вручную \ ОК \ Выполняется подключение \ Соединение с интернет установлено)
Чтобы проверить, что сервер действительно имеет доступ в Интернет. В данной версии это можно сделать прям через веб-интерфейс сервера (Управление сервером \ Консоль \ ping my.ideco.ru или 8.8.8.8)
- Настройка лицензии (Главная страница IDECO \ Лицензия \ Сервер не зарегистрирован \ Зарегистрировать \ Входим в личный кабинет, от куда скачивали дистрибутив \ Ideco UTM \ Лицензия \ Зарегистрировать новый сервер \ Сервер зарегистрирован под лицензией enterprise-demo на 40 дней с полным набором функций.
Можно так же потом указать SMB лицензию на 20 пользователей, но там есть существенные ограничения по функционалу.
Active Directory Выключен
Kaspersky Anti-Virus для Web Выключен
Kaspersky Anti-Virus для Mail Выключен
Контроль приложений Выключен
Предотвращение вторжений Выключен
Расширенный контент фильтр Выключен
Причем, обратно уже вернуть полноценную демо версию не получится L Так что будем тестировать enterprise-demo
Настройка авторизации на для доступа в интернет
Первым делом, нам нужно указать в сетевых настройках клиентских компьютеров, в качестве шлюза, IP-адрес сервера, который раздает интернет (Свойства \ IPv4 \ Шлюз: 192.168.0.10 \ ДНС: 192.168.0.10)
Однако, у нас все равно не получается выйти в сеть Интернет, так как на сервере еще не настроены правила, кого можно выпускать во внешний мир, а кого нет.
Авторизация через IP-адрес
Первым делом нужно добавить пользователя (Пользователи \ Добавить \ Имя пользователя: Проходная; Логин: prohodnaya; автоматический пароль \ Сохранить)
Добавляем авторизацию через IP (Переходим в пользователя \ Проходная \ Дополнительные настройки \ Использовать авторизацию по IP \ Постоянная авторизация по IP \ 192.168.0.6 \ Получить MAC по IP, на тот случай, если данный адрес будет присвоен другому компьютеру, то по MAC адресу мы сможем правильно аутентифицировать компьютер \ Сохранить)
Пробуем зайти на сайт однокласники, все отлично, интернет есть.
Меняем IP адрес и доступа в интернет нет и выдается сообщение, Доступ запрещен.
Авторизация через веб-интерфейс
Включим функцию авторизации через веб (Сервисы \ Авторизация пользователей \ Включить: Веб-авторизация \ Авторизация через веб-интерфейс \ Тайм-аут разавторизации: 15 минут, т.е. если пользователь не пользуется интернетом в течении 15 минут, то при подключении будет вновь запрашиваться логин и пароль \ Сохранить)
Создадим пользователя, под которым будет авторизоваться сотрудник через браузер (Пользователи \ Добавить \ Имя пользователя: Прорабская; Логин: prorab; Пароль \ Сохранить)
Настраиваем клиентский компьютер (Сетевые настройки \ Свойства \ IPv4 \ Шлюз: 192.168.0.10 \ ДНС: 192.168.0.10)
Заходим в браузер и пытаемся зайти на сайт
Какие же основные нововведения в 8 версии:
- Новый веб-интерфейс администрирования.
- Маршрутизация веб-трафика согласно пользовательским маршрутам (по источнику и назначению).
- Правила файервола применяются и к веб-трафику (80 и 443 портам).
- Терминал доступа в веб-интерфейсе, это мы уже успели проверить (с возможностью выполнения сетевой диагностики различными командами ping, mtr, host, tcpdump, просмотра логов и др.).
- Новые правила файервола применяются автоматически, без необходимости разрыва текущих соединений.
- Объекты IP-адреса, сети и др. можно использовать в правилах контент-фильтра, контроля приложений и ограничения полосы пропускания.
- Обновлены модули: системы предотвращения вторжений, Файервола веб приложений, прокси-сервера
- Новая реализация балансировки и резервирования каналов. Кстати, так как меня периодически просят рассмотреть тему резервирования интернет каналов и автоматического переключения между ними, то данную тему я тоже планирую рассмотреть на примере того, как это реализовано в Айдеко.