Выбираем корпоративный интернет-шлюз. «Интернет Контроль Сервер», или При чём здесь «Звёздные войны

Рост количества локальных вычислительных сетей и острая необходимость предоставления доступа к сети Интернет всё большему числу устройств, а также защиты их от атак извне, привели к развитию программных, аппаратных и программно-аппаратных комплексов, с помощью которых можно предоставить доступ к сети Интернет большому количеству устройств в локальной сети. Эти комплексы обладают широкой функциональностью, средствами защиты от внешних угроз (межсетевые экраны, средства обнаружения вторжений, антивирусная проверка контента), модули контентной фильтрации, средства для сбора статистических данных, управления пропускной способностью канала и прочее.

ИКС 2.3.4 (Интернет Контроль Сервер) от российской компании "А-Реал Консалтинг" - это многофункциональный межсетевой экран и прокси-сервер. Представляет собой программный комплекс, в основе которого лежит операционная система FreeBSD 8.1. Использование операционной системы FreeBSD означает минимальное потребление системных ресурсов, высокую надёжность, безопасность и скорость работы. Продукт имеет сертификат ФСТЭК №2623 от 19 апреля 2012 г.

К ключевым особенностям интернет-шлюза - межсетевого экрана ИКС стоит отнести:

Большое количество сетевых сервисов, в том числе FTP, Web, DNS, DHCP, VPN, прокси, почтовый и jabber сервера, LDAP, и другие. Это позволяет строить конфигурации системы практически произвольного уровня сложности, в зависимости от сценария использования.
Для доступа к сети Интернет могут быть использованы различные варианты подключения к провайдерам. Поддерживаются:
- DHCP;
- PPPOE;
- PPTP over IP;
- PPTP over DHCP;
- Провайдер VLAN.
Система обнаружения вторжений (IPS) Snort.
Возможность проверки трафика антивирусами ClamAV (бесплатный продукт) и Dr.Web (для работы требуется приобретение отдельной лицензии).
Проксирование, в том числе и прозрачное.
Модуль контентной фильтрации.
Гибкая система работы с правилами для пользователей, групп пользователей.
Удобная настройка ширины полосы пропускания.
Интеграция с сетями Microsoft Windows.
Поддержка установки и работы на виртуальных машинах Virtualbox, VmWare Workstation и VmWare ESXi;
Межсетевой экран ИКС сертифицирован ФСТЭК.

Подробнее остановимся на сертификации ФСТЭК. Согласно Федеральному закону РФ от 27 июля 2006 года № 152-ФЗ «О персональных данных», существенно возросли требования ко всем частным и государственным компаниям и организациям, а также физическим лицам, которые хранят, собирают, передают или обрабатывают персональные данные (в том числе фамилия, имя, отчество). Это означает, что для обеспечения безопасности персональных данных, при работе с ними, должны использоваться средства, которые прошли сертификацию ФСТЭК. К тому же, в случае наличия доступа к сети Интернет локальной вычислительной сети (или её сегмента), в которой идёт работа с персональными данными, то для защиты персональных данных, такая локальная вычислительная сеть (или сегмент) должна быть защищена сертифицированным ФСТЭК межсетевым экраном.

Полученный сертификат Государственной технической комиссии при Президенте РФ (ФСТЭК) удостоверяет, что программный межсетевой экран Интернет Контроль Сервер соответствует требованиям руководящего документа Гостехкомиссии России «Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» по 4-му классу защищённости.

Изменения в межсетевом экране ИКС версии 2.3.4

Версия 2.3.4.10458. Четвертое обновление ИКС 2.3 "Drumba the Dramatic Droid"

Добавлена команда для получения списка провайдеров и сетей с использованием Jabber/ICQ-бота.
Добавлены графики загруженности VLAN интерфейсов.
Добавлена возможность работы веб-почты по https.
Теперь пользователи могут менять свой пароль в веб-интерфейсе.
Для сетевого интерфейса теперь можно задать скорость и режим работы.
Добавлена возможность перенаправлять GRE трафик.
Добавлена возможность удаления отчётов старше 2 месяцев.
Различные компоненты системы обновлены до последних версий.

Стоит отметить, что на данный момент сертификацию ФСТЭК проходит новая версия межсетевого экрана -- ИКС 4.4, которая содержит ряд важных улучшений и нововведений. Укажем наиболее важные изменения версии 4.4:

Ядро системы обновлено до FreeBSD 8.3;
Поддержка работы с WiFi и 3G.
IP-телефония поддержкой протоколов SIP и IAX.
Layer-7 фильтрация.
Добавлена функция NAT для перенаправления портов и VPN-сети.
Добавлена возможность работы с почтовым сервером по протоколам SMTPs, IMAPs и POP3s.
Категории трафика SkyDNS.
Поддержка протокола L2TP для VPN-подключений.
Поддержка VMware Tools.
Другие функциональные возможности.

Системные требования

Количество пользователей	Архитектура	Процессор	Жесткий диск	Оперативная память
10-50 пользователей		Intel Atom D410 1,6GHz
50-150 пользователей		Intel Core2DUO T7100 1,8 GHz
>150 пользователей		Intel CoreI7 3.06Ghz

Установка межсетевого экрана ИКС версии 2.3.4

Установку межсетевого экрана ИКС можно проводить с компакт-диска или USB-накопителя, предварительно записав туда скачанный с сайта производителя iso-образ, который содержит программу установки межсетевого экрана ИКС. На данный момент отсутствуют iso-образы для виртуальных машин, которые содержат уже установленный межсетевой экран ИКС.

Сама установка предельно проста и проходит в несколько этапов. Программа-установщик имеет внешний вид сходный с sysinstall FreeBSD.

На первом этапе установки будет предложено выбрать язык интерфейса.

Рисунок 1. Выбор языка установки межсетевого экрана ИКС

После чего запустится сама программа установки. Далее необходимо будет принять лицензионное соглашение, выбрать сетевой интерфейс, который подключен к локальной сети, провести его настройку и выбрать жёсткий диск для установки.

Рисунок 2. Выбор сетевого интерфейса для настройки

Рисунок 3. Указание IP-адреса для выбранного интерфейса

Рисунок 4. Задание маски сети

После подтверждения всех заданных настроек и выбора жёсткого диска для установки, программа установки сама разобьёт и отформатирует жёсткий диск, а затем установка продолжится. По окончании установки, будет показано сообщение-напоминание какие данные нужно использовать для подключения к веб-консоли межсетевого экрана ИКС.

Функциональность и работа с межсетевым экраном ИКС.

Основным средством управления межсетевым экраном ИКС является веб-интерфейс.

Рисунок 5. Главная страница веб-интерфейса межсетевого экрана ИКС

Сам веб-интерфейс оставляет приятное впечатление. Для облегчения навигации и доступа к нужным сервисам и пунктам меню, используется четыре логических раздела: «Пользователи и статистика», «Службы», «Сеть» и «Обслуживание».

Раздел «Пользователи». В этом разделе сгруппированы модули управления пользователями, группами пользователей, их ролями. А также модуль для работы с наборами правил (в том числе контентной фильтрации), модуль для управления категориями данных и модуль отображения детальной статистики работы пользователей в сети Интернет.

В разделе «Службы» отображается список запущенных служб межсетевого экрана ИКС. Щёлкнув на любой службе, можно увидеть окно состояния службы, а также получить доступ к дополнительным настройкам этой службы или остановить её работу. Модуль «Все службы» содержит в себе список всех сетевых сервисов, доступных в межсетевом экране ИКС.

Раздел «Сеть» содержит в себе средства управления сетевыми подключениями, управления маршрутизацией, межсетевым экраном, системой обнаружения вторжений, прокси-сервером, а также DHCP и VPN серверами, которые входят в состав межсетевого экрана ИКС.

А в разделе «Обслуживание» сгруппированы системные модули управления межсетевым экраном ИКС, в том числе и оборудованием, на котором он работает.

Для примера покажем окно состояния одной из служб межсетевого экрана ИКС.

Рисунок 6. Окно состояния службы FTP межсетевого экрана ИКС

В первую очередь необходимо провести настройку сетевых интерфейсов, чтобы обеспечить межсетевому экрану ИКС доступ к сети Интернет, а затем провести обновление межсетевого экрана ИКС.

Легче всего провести настройку сети с помощью мастера настройки сети. Если необходимо провести более тонкую настройку с указанием дополнительных параметров, то это можно сделать вручную.

Мастер первоначальной настройки сети можно запустить из модуля Сеть, щёлкнув по соответствующему меню.

Рисунок 7. Запуск мастера первоначальной настройки сети межсетевого экрана ИКС

Как видим, нам предлагают широкий выбор вариантов подключений. Это позволяет использовать ФСТЭК версию ИКС практически с любыми типами провайдеров.

Рисунок 8. Настройка сетевых интерфейсов межсетевого экрана ИКС

Перед подтверждением настроек сетевых интерфейсов будет показана итоговая таблица изменений. Если какие-то параметры заданы неверно, можно вернуться на несколько шагов назад и подкорректировать настройки.

Рисунок 9. Итоговая таблица изменений настроек сетей и провайдеров межсетевого экрана ИКС

После того, как все настройки были подтверждены и применены, произойдёт автоматическая переадресация в меню «Провайдеры и сети» модуля «Сеть».

В этом меню можно посмотреть список и состояние сетевых интерфейсов, отключить или включить те или иные интерфейсы, провести их настройку. Также можно посмотреть журнал работы комплекса.

Рисунок 10. Список настроенных сетей и провайдеров межсетевого экрана ИКС

В правильности соединения с сетью Интернет можно убедиться, воспользовавшись стандартной утилитой Ping. Она доступна в меню «Сетевые утилиты» модуля «Сеть».

Если необходимо, можно сделать и трассировку, использовав утилиту traceroute, которая находится в том же меню.

Рисунок 11. Результаты работы утилиты ping межсетевого экрана ИКС

В целом, настройка сетевых интерфейсов трудностей не вызывает.

После того, как мы смогли подключиться к сети Интернет, нужно проверить наличие обновление. Сделать это можно щёлкнув на пункт меню «Обновления» модуля «Обслуживание».

Рисунок 12. Результат проверки обновлений межсетевого экрана ИКС

Как видим, какие-либо обновления отсутствуют.

На этом краткую первоначальную настройку ИКС можно считать оконченной.

Дальнейшая настройка межсетевого экрана ИКС зависит от конкретного сценария использования.

Межсетевой экрана ИКС обладает широкой функциональностью и содержит множество сетевых сервисов.

Так, межсетевой экран ИКС может выступать в роли полноценного:

DHCP-сервера, для автоматической настройки сетевых параметров клиентских устройств локальной сети;
FTP-сервера (Proftpd), для обеспечения доступа к файлам по протоколу FTP;
WEB-сервера (Apache), с поддержкой виртуальных хостов, для размещения сайтов и обеспечения к ним доступа;
Mail-сервера (Postfix), с возможностями сбора почты с других почтовых ящиков и встроенным спам-фильтром, для передачи и приёма электронной почты;
DNS-сервера (Bind), для работы со службами разрешения имён;
Сервера каталогов, для синхронизации с сетями Microsoft Windows и Microsoft Active Directory;
HTTP прокси-сервера (squid), с поддержкой прозрачного проксирования, проверки трафика с помощью антивирусов ClamAV и DrWeb, учёт и фильтрация трафика по URL и mime-типам, кэширования страниц (для экономии трафика), а также авторизации для доступа к прокси-серверу по учётным данным пользователей межсетевого экрана ИКС или Active Directory;
Socks5 прокси-сервера, для предоставления возможности прозрачного использования сервисов за межсетевым экраном;
VPN-сервера, для предоставления клиентам удалённого доступа с помощью VPN-авторизации;
Сервера времени, для возможности синхронизации времени клиентских устройств с сервером, что особенно актуально в сетях с Active Directory.

Как видим, межсетевой экран ИКС предоставляет широкие возможности для использования различных сетевых сервисов и построения конфигураций различно сложности, в зависимости от потребностей той или иной организации. К тому же, есть возможность задействования сервисов по мере роста потребностей, без использования дополнительного стороннего программного обеспечения и отдельных серверов для этих сервисов.

Так же, в межсетевом экране ИКС, помимо вышеперечисленного, есть ряд дополнительных возможностей. Рассмотрим и их.

Дополнительные функциональные модули межсетевого экрана ИКС

«Журнал ICQ». Этот сервис служит для перехвата сообщений ICQ и может использоваться как простой модуль DLP-системы для контроля переписки сотрудников и установления факта утечки конфиденциальной информации. «Журнал ICQ» работает не со всеми сторонними клиентами службы ICQ и не перехватывает зашифрованные сообщения.

Если провайдер предоставляет динамический ip-адрес, а доступ к серверу из сети Интернет необходим, то можно воспользоваться модулем «DynDNS» (динамический DNS). Предварительно нужно зарегистрироваться на сайте http://dyndns.org/ или http://no-ip.com, и зарегистрировать своё собственное доменное имя. После чего указать учётные данные в модуле «DynDNS» для доступа к учётной записи, указать провайдера и ip-адрес, который будет меняться, и задать имя хоста. Удобная функция, если нет возможности получить статический ip-адрес, но, к примеру, хочется чтобы свой собственный сайт на своём сервере был доступен в сети Интернет.

Если в организации используются аппаратные маршрутизаторы фирмы Cisco, то межсетевой экран ИКС может подключаться к ним по протоколу Netflow v.5 для сбора и обработки статистической информации. Что может использоваться для более полного учёта объёмов трафика, анализа посещаемых ресурсов и прочее.

В состав межсетевого экрана ИКС включен модуль «Сертификаты», для создания и управления цифровыми сертификатами. Цифровые сертификаты необходимы для того, чтобы обеспечить возможность работы сетевых сервисов межсетевого экрана ИКС с использованием протокола SSL. SSL (Secure Sockets Layer - уровень защищённых сокетов) - криптографический протокол, который обеспечивает установление безопасного соединения между клиентом и сервером. Использование протокола SSL может быть продиктовано желанием повысить безопасность работы с данными и повышением уровня надёжности и защищённости сетевых сервисов.

Для дополнительного контроля над безопасностью межсетевого экрана ИКС, используется модуль «Монитор файлов», который позволяет отслеживать изменения в важных системных файлах и файлах конфигурации. Это может быть полезно в том случае, если злоумышленник смог каким-либо образом получить доступ к межсетевому экрану ИКС и произвёл подмену файлов или же изменил их. В таком случае в журнале будет запись о том, что есть изменения в тех файлах, которые отслеживаются.

Хорошим подспорьем в работе системному администратору послужит модуль «ARP-таблица», который позволяет отслеживать появление в сети новых устройств (по MAC-адресу), соответствие IP и MAC адресов, а также осуществлять привязку и отвязку IP адресов к MAC адресам. Особенно полезен будет этот модуль в большой сети. А также для отслеживания недобросовестных пользователей, которые могут изменять mac-адрес своих сетевых устройств, что создаёт дополнительные проблемы IT-персоналу.

В дополнение к этому, в межсетевом экране ИКС есть модуль «Сетевые утилиты», в котором собраны наиболее часто используемые сетевые утилиты для контроля состояния сети и диагностики сетевых неполадок, а именно:

Ping, для проверки соединения;
Traceroute, для отображения маршрута прохождения запроса до нужного хоста;
Dig, утилита для тестирования работы DNS, путём посылки разных запросов к ним;
Whois, для получения информации о владельце домена или диапазона ip-адресов;
Route, для отображения текущей таблицы маршрутизации межсетевого экрана ИКС;
Ifconfig, показывает текущую настройку сетевых интерфейсов межсетевого экрана ИКС;
Tcpdump, отображает заголовки пакетов, которые проходят через заданную сетевую карту. Это позволяет детально анализировать проблемы с сетевым оборудованием и настройками межсетевого экрана ИКС.

Также доступно ARP-сканирование сети (на доступность локальных устройств в сети) и сканирование на проверку открытых портов в сети. Это позволяет повысить безопасность сети в целом, путём выявления проблем в настройках программного обеспечения, которое работает с сетью. Для обеспечения этих возможностей используется широко известное программное обеспечение Nmap.

Модуль «Маршруты» позволяет создавать гибкие правила маршрутизации трафика. В межсетевом экране ИКС поддерживается маршрутизация TCP/UDP, ICMP, GRE.

Функциональные модули защиты от атак

Как и полагается комплексу подобного класса, для защиты от сетевых атак извне используется межсетевой экран и детектор обнаружения атак.

Управление межсетевым экраном и работа с правилами очень простые, благодаря продуманности веб-консоли. При установке межсетевого экрана ИКС, ряд правил добавляется автоматически, для корректного функционирования ряда сетевых сервисов.

Рисунок 13. Список предустановленных правил межсетевого экрана

Помимо обычных разрешающих и запрещающих правил, можно задавать правила маршрутизации, правила ограничения полосы пропускания и правила приоритезации трафика. Это позволяет построить очень гибкую систему обработки сетевого трафика. Управление приоритетом трафика очень полезно в случае высокой загруженности каналов или наличия в сети критически важных сетевых сервисов, для которых важно обеспечить постоянную доступность. К примеру, если есть веб-сервер, на котором размещён сайт компании и важно, чтобы клиенты всегда имели к нему доступ, то можно задать правило обработки трафика, согласно которому будет обрабатываться трафик этого сервера в первую очередь. А вот почтовому трафику или FTP, можно задать и пониженный приоритет.

К тому же, правилам можно задавать время действия, что само по себе очень удобно. И предоставляет ещё большую гибкость в плане управления сетевым трафиком.

Рисунок 14. Пример редактирования правила межсетевого экрана

Для обеспечения дополнительных возможностей управления сетевым трафиком, межсетевой экран обеспечивает возможность перенаправления портов.

Для дополнительной защиты от сетевых атак используется модуль «Детектор атак», реализованный с помощью известной IPS Snort, способной выполнять регистрацию пакетов и в режиме реального времени осуществлять анализ трафика в IP сетях.IPS Snort выполняет протоколирование, анализ, поиск по содержимому, а также широко используется для активного блокирования или пассивного обнаружения целого ряда нападений и зондирований, таких как переполнение буфера, стелс-сканирование портов, атаки на веб-приложения, SMB-зондирование и попытки определения ОС.

Для корректной работы этого модуля необходимо установить правила для системы обнаружения атак.

Рисунок 15. Настройка обновления списков правил модуля «Детектор атак»

Для получения и постоянного обновления первого списка правил, необходимо зарегистрироваться на сайте snort.org, получить код Oinkcode для скачивания правил и ввести его в поле «Код для Oinkcode».

Второй список правил распространяется свободно без регистрации.

После того, как нужные источники списков правил отмечены в чекбоксах, можно нажать кнопку Обновить и дожидаться обновления списков правил. После чего система обнаружения вторжений готова к работе.

Также можно указать дополнительные настройки для этого модуля, список защищаемых портов, сетевые интерфейсы и прочее.

Рисунок 16. Окно настроек модуля «Детектор атак»

Стоит отметить, что Snort является довольно мощной системой предотвращения вторжений и широко распространена.

Для проверки трафика на наличие вредоносного кода, в межсетевом экране ИКС используется два антивирусных продукта. Это широко известные ClamAV (является бесплатным программным обеспечением) и российский Dr.Web (для работы требуется приобретение отдельной лицензии). Использование антивирусных продуктов на шлюзе, позволяет сильно повысить безопасность в локальной сети. При этом возможны несколько сценариев организации безопасности:

Сетевой трафик сканируется на интернет-шлюзе, на рабочих местах используется антивирусное программное обеспечение без модуля проверки трафика;
Сетевой трафик сканируется на интернет-шлюзе, на рабочих местах используется антивирусное программное обеспечение другого производителя с модулем проверки трафика;
Сетевой трафик сканируется на интернет-шлюзе, на выбранных рабочих местах используется антивирусное программное обеспечение другого производителя с модулем проверки трафика.

Как видим, межсетевой экран ИКС имеет в своём составе мощные средства противодействия сетевым и вирусным атакам. Что позволяет создать мощную инфраструктуру информационной безопасности организации или свободно интегрировать его в существующую и повысить уровень безопасности в целом.

Контроль доступа к ресурсам Интернет

Теперь рассмотрим, каким образом осуществляется контроль доступа пользователей к различным ресурсам сети Интернет.

В наше время, контроль доступа к ресурсам сети Интернет необходим по разным причинам. Это может быть и желание администрации повысить производительность труда путём блокирования развлекательных ресурсов, социальных сетей и прочего. Или повышение уровня безопасности в локальной сети путём блокировки известных вредоносных ресурсов. Или же блокирование доступа к нежелательным ресурсам в детских образовательных учреждениях согласно ФЗ «О защите детей от информации, причиняющей вред их здоровью и развитию». Естественно, база таки ресурсов должна постоянно пополняться.

Такая возможность реализована в межсетевом экране ИКС. Для такого контроля есть предустановленные категории трафика.

Стоит отметить, что эти список ресурсов в этих категориях очень обширен.

Для более гибкого и полного контроля над доступом к ресурсам сети Интернет, в межсетевом экране ИКС предусмотрена возможность создания собственных категорий и автоматических категорий.

Автоматические категории удобны тем, что системный администратор может сам вести списки требуемых ресурсов, либо же брать готовые, указывать межсетевому экрану ИКС месторасположение файлов со списком ресурсов, а потом указать период автоматического обновления этой категории. Таким образом, если в файл со списком будут внесены новые данные, они автоматически загрузятся в нужную категорию на сервере.

Для того, чтобы реализовать контроль доступа к ресурсам сети, применяются правила и наборы правил для пользователей в сети. Для работы с правила служит модуль «Наборы правил» раздела «Пользователи и статистика».

Рисунок 18. Модуль «Наборы правил» межсетевого экрана ИКС

Есть три предустановленных набора правил (по-умолчанию сами правила там отсутствуют), а также можно создавать свои наборы, для большей наглядности и упрощения работы.

К примеру, можно создать набор правил «Школа», где создать правила запрещающие посещать те или иные категории ресурсов нежелательных для детей.

Рисунок 19. Пример создания запрещающего правила для выбранного набора правил

Доступ к ресурсам из указанных категорий можно запретить или, при попытке посетить ресурс из запрещённой категории, перенаправить на нужный сайт. К примеру, на сайт школы.

Правила могут иметь определённое время действия, которое можно задать. Это позволяет гибко управлять контролем доступа к ресурсам в зависимости от времени суток. К примеру, можно запретить посещение социальных сетей в рабочее время, но разрешать посещать в обеденный перерыв.

Кроме правил контроля доступа, можно создавать правила управления шириной пропускания канала для отдельных пользователей, групп пользователей и диапазонов адресов.

Также, в межсетевом экране ИКС предусмотрена возможность просмотра детальной статистики посещения ресурсов сети, объём потреблённого трафика и прочей статистической информации.

Таким образом, межсетевой экран ИКС, предоставляет возможность контролировать работу пользователей в сети Интернет в полном объёме. С учётом контроля доступа к ресурсам сети, ограничения на объём потребляемого трафика и управления загрузкой каналов.

Мониторинг и управление системой

Помимо всех вышеперечисленных возможностей, межсетевой экран ИКС позволяет в реальном времени контролировать состояние оборудования, на котором он установлен, просматривать загрузку каналов, качество связи, контролировать состояние операционной системы и многое другое.

Для контроля всех этих параметров служит модуль «Мониторинг»

Рисунок 20. Модуля «Мониторинг» межсетевого экрана ИКС. Контроль загрузки процессора

Данные сортируются по временным интервалам: последний час, последние 6 часов, последний день, неделя и месяц. Это даёт системному администратору возможность следить за состоянием системы в целом, её отдельных параметров, отслеживать пиковую нагрузку для возможной оптимизации работы системы и предотвращение отказа в обслуживании.

Для облегчения восстановления системы после сбоя (от подобного не застрахован никто), в межсетевом экране ИКС предусмотрена возможность автоматического создания резервных копий настроек системы, а также полного резервного копирования системы. Помимо локального хранения резервных копий, предусмотрена возможность сохранения резервных копий на флэш-накопитель и на удалённый FTP-сервер. Что сильно повышает возможность быстрого восстановления работы, в случае если локальные резервные копии были утеряны или повреждены. Настройку резервного копирования можно провести в модуле «Резервное копирование».

Рисунок 21. Модуль «Резервное копирование», настройка создания резервных копий

Для дополнительного контроля межсетевого экрана ИКС предусмотрен модуль «Системный журнал». В модуле «системный журнал» отображаются сообщения о действиях пользователей, изменениях в статусах сервисов и ошибках системы. Для того, чтобы не пропустить какое-либо очень важное событие, в этом модуле предусмотрена система отправки уведомлений ответственному лицу. Уведомление может быть отправлено по электронной почте, а также с помощью Jabber или ICQ.

Рисунок 22. Настройка категорий уведомлений для отправки

Таким образом, нет необходимости постоянно следить за журналом событий, что, в целом, затруднительно. Такая возможность обеспечивает своевременное уведомление о тех или иных событиях, без постоянного отвлечения внимания.

Модуль «Жёсткие диски» предназначен для управления дисковой подсистемой сервера с установленным межсетевым экраном ИКС. Довольно часто получается так, что объёма установленных жёстких дисков перестаёт хватать. Для этого и была введена возможность лёгкого добавления новых жёстких дисков, создания дополнительных разделов и прочего в межсетевом экране ИКС.

Рисунок 23. Управление жёсткими дисками в межсетевом экране ИКС

Для тех случаев, когда доступ к межсетевому экрану ИКС невозможен с помощью веб-интерфейса, предусмотрена консоль восстановления, которую можно активировать нажатием клавиши F2, на клавиатуре, которая подсоединена к серверу с установленным межсетевым экраном ИКС. С помощью консоли восстановления можно изменить настройки сетевых интерфейсов, изменить таблицу маршрутизации, изменить пароли доступа к межсетевому экрану ИКС, настроить дисковую подсистему, перезагрузить или выключить сервер.

На этом мы заканчиваем обзор сертифицированного межсетевого экрана ИКС и переходим к выводам.

Выводы

Межсетевой экран ИКС оставил приятное впечатление. Это хорошо продуманный программный продукт с очень широкими возможностями. Его легко освоить персоналу, который впервые сталкивается с подобным классом продуктов или же не имел достаточного опыта работы. Для опытных системных администраторов в межсетевом экране ИКС предусмотрена возможность сколь угодно тонкой настройки параметров, а также широкий выбор сетевых сервисов для построения системы высокой сложности. Что даёт возможность наиболее полно учесть требования той или иной организации в создании сетевой инфраструктуры.

Достоинства:

Использование в качестве основы операционной системы FreeBSD.
Большое количество сетевых сервисов, в том числе FTP, Web, DNS, DHCP, VPN, прокси, почтовый и jabber сервера, LDAP, и другие.
Использование популярной и хорошо зарекомендовавшей себя IPS Snort.
Возможность проверки трафика с помощью антивирусов ClamAV, который является бесплатным и Dr.Web, для работы с которым нужно приобрести отдельную лицензию.
Возможность построения гибкой системы правил обработки сетевого трафика, в том числе возможность контентной фильтрации, приоритезация трафика, маршрутизация, перенаправление портов, указание временных диапазонов работы правил обработки трафика, управление полосой пропускания и прочее.
Поддержка работы на виртуальных машинах. Но преднастроенные образы отсутствуют.
Система мониторинга оборудования, компонентов межсетевого экрана ИКС и самой системы.
Простота и наглядность в настройке, удобный веб-интерфейс.
Пробный период использования составляет 35 дней.
Бесплатная техническая поддержка и хорошая документация.
Наличие сертификации ФСТЭК (сертификат ФСТЭК №2623 от 19 апреля 2012 г.).
Пожизненная лицензия, не ограниченная по времени использования.

Недостатки:

Использование в качестве основы операционной системы FreeBSD. Да, это как плюс, так и минус. Минус в плане поддерживаемого оборудования. У операционной системы FreeBSD есть определённые проблемы в этом направлении. К сожалению, операционная система FreeBSD немного отстаёт, в плане поддержки нового оборудования, от Linux и, тем более, от Microsoft Windows. Поэтому, мы рекомендуем перед установкой межсетевого экрана ИКС убедиться, что оборудование поддерживается операционной системой FreeBSD.
Отсутствие в качестве провайдера Wi-Fi соединения. С учётом развития беспроводных сетей – это актуально. Разработчики добавили поддержку Wi-Fi соединений в версии ИКС 4.4, которая на момент публикации обзора проходит сертификацию ФСТЭК.
В процессе подготовки обзора были проблемы с использованием сетевого адаптера PCnet FAST III в виртуальной машине Virtualbox. Система корректно заработала только с сетевым адаптером Intel;
Модуль «Обновления» сообщает об отсутствии обновлений, не смотря на то, что новое обновление в списке есть;
Проблемы работы с консолью в некоторых менее популярных браузерах. Например, Internet Explorer 8 довольно часто предлагал остановить сценарий выполнения на странице, при работе с веб-интерфейсом;
Консоль восстановления довольно ограничена в возможностях. Например, желательно иметь возможность попасть в стандартную оболочку, для прямой работы с операционной системой межсетевого экрана ИКС в особо тяжёлых случаях;
Хотелось бы иметь возможность дополнительной установки пакетов программного обеспечения, из списка поддерживаемых разработчиками, с интеграцией в веб-интерфейс. Это расширило бы возможности продукта в целом.

Корпоративный интернет-шлюз - голова ИТ-инфраструктуры, но в случае любых проблем он мгновенно превращается в другую часть тела… для компании.

Выбор интернет-шлюза зависит от множества обстоятельств: выделенного бюджета, квалификации и пристрастий к аппаратным и программным решениям ответственного за сеть админа, размера сети, необходимости наличия сертификатов и т.д. Наверное, эта статья не для познавших Дао гуру, которые с помощью подручных средств вроде третьего пенька, бубна и какой-то матери играючи могут обеспечить бесперебойный доступ в интернет и контроль трафика для сотен машин. Мы поговорим о вещах более стандартных и приземленных: как выбрать корпоративный интернет-шлюз и что в нем должно быть?

Аппаратное или программное решение?

В первую очередь, стоит определиться: выбрать аппаратное решение или же программное. Большинство аппаратных решений выпускаются преднастроенными и работают по принципу «поставил и забыл». В условиях ограниченного бюджета и при недостаточной квалификации лучше (от греха подальше) использовать аппаратное решение.

Кастомизацией настроек и количеством возможностей контроля и управления сетью при таком подходе приходится пожертвовать. Программные же решения обычно предполагают постоянный контроль работы сети , анализ статистики, настройку параметров фильтрации, выбор режима работы, добавления пользователей, изменение политик безопасности, – в общем, разумное использование имеющегося функционала. Поэтому если нужно заточить продукт под себя «от и до» и иметь полный набор инструментов для управления сетью – необходимо соответствующее программное решение и собственный корпоративный сервер.

Необходимый функционал корпоративного интернет-шлюза

Интернет-шлюз организует бесперебойную работу в интернете всех работников фирмы, поэтому прокси-сервер, на базе которого он выполнен, должен обладать достаточным функционалом, удобным интерфейсом и возможностью гибкой настройки сети и прав доступа: VIP-пользователям обеспечить полный доступ к сети, а рядовым отрубить ВКонтакте и любимые форумы. Также важно легко управлять скоростью пользователей, устанавливать приоритеты для различных видов трафика (например, повысить приоритет IP-телефонии для обеспечения качественной связи и понизить для архивов). Не стоит забывать и о поддержке VPN и NAT. Крайне полезна возможность удаленного администрирования, чтобы львиную долю проблем с сетью можно было решать, не выходя из дома.

Встроенный прокси-сервер помогает контролировать и экономить интернет-трафик: он позволяет анализировать запросы пользователей, загружаемые сайты и их элементы и действовать в строгом соответствии с установленными правилами. Обычно от интернет-шлюза требуются следующие функции фильтрации трафика:

наличие контентной фильтрации,
возможность фильтрации HTTPS,
назначение фильтров в зависимости по времени,
на определенные группы пользователей,
наличие готовых шаблонов для правил.

Часто используются системы каскадирования прокси, возможность перенаправления трафика разных пользователей на разные вышестоящие прокси, причем с разными способами и типами авторизации.

Отдельно стоит сказать о статистике, которая для интернет-шлюза является не «третьим видом лжи», а важным источником информации о поведении пользователя. Благодаря статистике можно в любое время узнать, кто из пользователей забивает Интернет-канал, на каких ресурсах зависают сотрудники и когда пора блокировать сайты и резать лимит трафика.

Кроме того, интернет-шлюз обеспечивает защиту корпоративной сети от внешних воздействий. Особенно надежная защита важна в случае, когда по тем или иным причинам не только пользователи сидят под Windows, но и сам сервер (не будем разводить холивар на тему, почему под Windows, но практика показывает, так бывает весьма часто). В таком случае антивирус и фаервол необходимы как воздух. Также нужен модуль защиты от фишинга и, главное, прямые руки того, кто все это великолепие настраивает.

Отдельная тема – наличие сертификатов безопасности, которые, во-первых, определенную безопасность гарантируют (абы кому их не выдают), а во-вторых, в случае наличия сертификата ФСТЭК, интернет-шлюз не вызовет подозрения в ходе «всеми горячо любимых» бюрократических проверок организации.

Основные проблемы сисадминов с интернет-шлюзом

Каждый раз при размещении нового сервера или службы у сисадмина возникает проблема: как «вписать» новую постоянно работающую службу или сервер в уже устоявшуюся сеть.

Как подстроить NAT и другие сетевые службы для ее корректной работы, будет ли данный сервер в AD, могут ли на нем размещаться другие сетевые службы или сервер должен быть выделенным. Это не зависит от способа реализации – это вопрос сетевого планирования.

Основные проблемы при использовании программных шлюзов следующие. В первую очередь это знакомая многим ситуация: старый админ уволился, а новый гений в процессе работы сбил корректно работающие настройки и понятия не имеет, почему ничего не работает, и что же теперь делать. Тяжелый случай – прошлый админ корректно все настроил через фряху, а админ – любитель Windows полез разбираться с печальными для себя и предприятия последствиями. Часто у новичков встречается некорректная настройка фильтров из-за нежелания прочесть мануал и понять, что же там написано. Или просто пользователь поставил программу и понятия не имеет, а что же с ней делать.

В общем, интернет-шлюз – это инструмент, который нужно подбирать в зависимости от решаемых задач, вкусов и компетентности отвечающего за безопасную и бесперебойную работу сети сисадмина. Главное, чтобы сеть работала как часы и выполняла важнейшую возложенную на нее функцию обеспечения коммуникации организации с внешним миром.

Благодарим вас за внимание и ждем ваших комментариев.

Предыдущие посты:

20.11.2014, ЧТ, 16:11, Мск

Бизнес сегодня заинтересован в многоуровневой защите для противодействия взломам и вирусному заражению. Популярные западные решения слишком дорогие, сложные, а в свете санкций еще и создают риски возникновения проблем в будущем. В то же время отечественная компания «А-Реал Консалтинг» создала свое решения для защиты интернет-шлюзов ИКС (Интернет Контроль-Сервер).

Сегодня рынок защищенных интернет-шлюзов (Secure Web Gateways, SWG) оживлен. Так, «Лаборатория Касперского» только лишь за один день обрабатывает более 315 тыс. образцов уникального вредоносного ПО. Столкнувшись с этим фактом, а также с последствиями вирусного заражения или взлома, даже самые оптимистично настроенные владельцы бизнеса осознают, что слишком много защиты не бывает. И потому все больше и больше компаний и организаций, особенно с развитой ИТ-инфраструктурой, принимают на вооружение концепцию многоуровневой защиты, где конечные узлы сети и хранилища данных огораживаются несколькими контурами защитных решений.

Актуальность использования SWG-решений подтверждают и эксперты. Например, Юрий Черкас , руководитель направления инфраструктурных решений ИБ Центра информационной безопасности компании «Инфосистемы Джет», утверждает, что, по собственной статистике его компании, объем проектов по Secure Web Gateways уверенно занимает второе место в портфеле решений по защите периметра ИТ-инфраструктуры после FW/IPS: «При этом 2014 г. более динамичен по сравнению с предыдущим. Одной из основных причин является окончание поддержки Microsoft TMG». С ним согласен и Алексей Патрикеев , ведущий эксперт практики инфраструктурных решений компании «Астерос Информационная безопасность»: «Последние несколько лет рынок SWG растет как по финансовым показателям, так и по функциональным возможностям. Web – самый популярный способ предоставления сервисов в интернете, и вполне логично, что он заслуживает соответствующего внимания». По мнению Ивана Батова , директора департамента «Инжиниринговый центр» компании «Техносерв», выделение платформы для различных сегментов актуально для крупных заказчиков и дата-центров. Также он прокомментировал: «С течением времени потребность в SWG возрастает, и как малые, так и крупные заказчики проявляют к ним достаточно высокий интерес. Для SMB сектора наиболее интересны решения на базе межсетевых экранов со встроенным функционалом контентной фильтрации и антиспамом, например, Check Point или StoneSoft, или же это может быть отдельное решение, например, Barracuda Networks, ввиду его невысокой стоимости».

Одним из важнейших контуров по праву считаются SWG-решения. Шлюз развертывается на точке входа в локальную сеть из глобального Интернета, он позволяет разом обеспечить защиту всех внутренних ресурсов компании. К тому же такой шлюз, как правило, позволяет нейтрализовать последствия невнимательности пользователей или инсайдерский злой умысел – даже если сотрудник по какой-либо причине отключит антивирус на своем компьютере, шлюз все равно сможет перехватить входящий вирус или пресечет попытку соединиться с вредоносным сетевым ресурсом. Эксперты уточняют, какие именно функции нужны для полноценной защиты периметра корпоративной сети. Например, Юрий Черкас выделяет: «Контроль приложений и операций WEB 2.0, продвинутая защита от вредоносного ПО, проксирование и оптимизация работы популярных протоколов WEB, Stream Media, P2P, инспектирование SSL, а также разноуровневая аналитика использования ресурсов интернета». Алексей Патрикеев добавляет, что SWG «заточен» под решение прикладной задачи – защиты web, а для полноценной защиты периметра необходимы и другие функции: «IPS, Security Mail Gateway, Anti-ddos, DLP и многие другие».

Подавляющее большинство популярных в России разработчиков защищенных шлюзов – это американские компании: Cisco, Websense, Palo Alto Networks и т.д. При этом совершенно не факт, что приобретение западного решения будет оптимальным шагом. Продукты рыночных хедлайнеров обходятся ощутимо дороже отечественных из-за переплаты за бренд, ввозных пошлин, наценки импортера и большой TCO зарубежного продукта.

В свете вышеизложенного многие работающие в России организации начинают пристальнее рассматривать отечественных производителей защищенных шлюзов. Российская компания «А-Реал Консалтинг» разработала свое решение ИКС (Интернет Контроль-Сервер) и получила на него сертификацию ФСТЭК.

ИКС в качестве интернет-шлюза

ИКС развертывается на периметре корпоративной сети, защищая ее извне и полностью контролируя внутри. Он обеспечивает защиту корпоративной сети от вредоносного ПО и спама, позволяет осуществлять учет трафика, управлять доступом, организовывать IP-телефонию на основе Asterisk, развертывать почтовые, прокси-, файловые, веб- и jabber- серверы. С его помощью появляется возможность как управлять общим доступом в Интернет, так и создавать белые/черные списки сайтов, контролировать доступ к социальным сетям, пресекать доступ к ресурсам с нежелательным контентом и ограничивать время использования Интернета. Специальный режим фильтрации позволяет блокировать доступ к любым ресурсам, кроме входящих в доверенный белый список. В основе решения лежит открытая система FreeBSD 9.2, объединенная в удобный интерфейс со всеми настроенными сервисами.

ИКС поддерживает достаточное количество каналов связи с внешним миром. Это может быть и проводное, и беспроводное (Wi-Fi) соединение, даже 3G модем. При этом ИКС может подключаться к VPN-серверам и сам играть роль VPN-сервера.

Как и у каждого качественного роутера, в ИКС имеется ARP-таблица, DHCP, перенаправление портов, таблица маршрутизации, межсетевой экран, сетевые утилиты. Среди утилит – уже ставшие стандартом де-факто ping и trace, опрос DNS, WhoIs, снифер, тест скорости канала и даже сканер сети. Коммуникационные возможности включают в себя встроенный сервер почты с удобным веб-интерфейсом, Jabber, а также сервер IP-телефонии на основе Asterisk. Для организации корпоративного портала будет полезен встроенный веб-сервер с поддержкой PHP и MySql.

ИКС включает в себя гибкую систему отчетности по использованию сети. Тут можно посмотреть, кто из пользователей использовал больше всего трафика, какие сайты посещал, сколько времени на них было проведено. Всего предусмотрено 15 предустановленных отчетов, не считая тех, что вы можете создать с помощью конструктора.

Важной функцией является защита от вредоносных программ и спама. Для этого ИКС использует антивирусный и антиспам-модули от «Лаборатории Касперского». Они обеспечивают высокий уровень обнаружения и нейтрализации вирусов, троянов, руткитов и прочего вредоносного ПО, а также нежелательной почты.

ИКС также умеет обнаруживать различные виды сетевых атак извне, анализируя трафик с помощью набора автоматически подгружаемых правил. Если обнаруживается деструктивная деятельность, шлюз прерывает передачу данных и делает соответствующую пометку в журнале.

Для защиты конфиденциальной информации в ИКС применяется DLP-фильтр (Data Leak Prevention), анализирующий не только веб-, но и почтовый трафик. Он позволяет осуществлять фильтрацию не только текста, но и файлов – как текстовых, так и любых других, и хорошо работает в качестве защиты от инсайдеров.

Целевая аудитория

ИКС может заинтересовать разную аудиторию. Например, руководителей информационных отделов и ИТ-специалистов, чья работа непосредственно связана с обеспечением бесперебойного функционирования корпоративной сети и защитой персональных данных и информации.

Средний и малый бизнес наверняка оценит ИКС из-за простоты настройки и установки – начать пользоваться им могут даже люди без технического образования. Это хорошо для тех предприятий, где в штате могут отсутствовать выделенные ИТ-специалисты.

Использовать ИКС можно даже в школах. Это обусловлено соблюдением Федерального закона № 436-ФЗ «О защите детей от информации, причиняющей вред их здоровью и развитию». ИКС соответствует требованиям регулирующих органов и рекомендован для использования в образовательных учреждениях.

Интернет Контроль Сервер существует на рынке информационных решений более 10 лет, за это время его стало использовать множество компаний по всей России. В их числе – предприятия ТЭК, банки, медицинские, образовательные учреждения, административные органы.

Компания «А-Реал Консалтинг» постоянно ведет работы по улучшению продукта и планирует обновить сертифицированную версию ФСТЭК. Для аппаратной версии ИКС доступны серверы, разработанные Depo Computers и «Аквариус». Сфера ИТ-решений – одна из наиболее быстро меняющихся и развивающихся, поэтому просто поддерживать работоспособность программы сегодня уже недостаточно – требуются постоянные усовершенствования и нововведения. Для оценки возможностей ИКС существует бесплатная демо-версия на 35 дней.

Основные принципы лицензирования ПО «Интернет Контроль Сервер»

Лицензирование программы «Интернет Контроль Сервер» зависит от количества зарегистрированных пользователей в системе. Лицензии приобретаются пакетами по числу пользователей, в дальнейшем при увеличении количества сотрудников компания может докупать дополнительные лицензии.

Лицензия является бессрочной, на первый год ее использования заказчикам бесплатно предоставляется подписка на сервис «Обновление + Поддержка», включающий в себя услуги по сопровождению и обновлению продукта. По истечении первого года, чтобы продолжать получать обновления и поддержку, организации необходимо приобрести продление подписки еще на один год.

Дополнительно к лицензии можно купить комплект «DVD диск + документация». В состав пакета входят фирменная DVD-коробка, компакт-диск с дистрибутивом ИКС и инструкция по установке.

Варианты покупки продукта «Интернет Контроль Сервер»

Программа – полностью программное решение, стоимость которого зависит от принадлежности заказчика к той или иной группе организаций: малого бизнеса («ИКС Малый бизнес»), средних и крупных компаний (редакция «ИКС Стандарт»), бюджетных и учебных учреждений.
Программно-аппаратный комплекс – готовый физический сервер с установленным ПО «Интернет Контроль Сервер». Стоимость АПК зависит от принадлежности заказчика к той или иной группе организаций: малому бизнеса («ИКС Малый бизнес»), средних и крупных компаний (редакция «ИКС Стандарт»), бюджетных и учебных учреждений.
Dr.Web для ИКС – специальный антивирус для интернет-шлюзов, который может приобретаться в дополнение к продукту «Интернет Контроль Сервер». При покупке сервиса «Обновление + Поддержка» лицензия на антивирус Dr.Web предоставляется бесплатно.
Сертифицированная ФСТЭК версия – редакция, предназначенная для защиты конфиденциальной информации и персональных данных. Поставка включает в себя лицензию и физический комплект. Заказчики могут приобрести сертифицированную ФСТЭК версию в качестве первичной покупки или как переход.

Льготный переход на «Интернет Контроль Сервер»

При переходе на интернет-шлюз «Интернет Контроль Сервер» с аналогичного программного обеспечения организации-заказчику предоставляется скидка 50% . Для льготного перехода необходимо сообщить название продукта, предоставить цветную скан-копию лицензионного договора или копию лицензии на продукт, с которого осуществляется переход, свои регистрационные данные: имя, адрес электронной почты и телефон.

Специальное предложение для бюджетных организаций

При покупке ПО «Интернет Контроль Сервер» бюджетным учреждениям предоставляется скидка 30%. Кроме того, эти организации могут приобрести данный интернет-шлюз с рассрочкой оплаты (возможны различные формы оплаты).

Пакет «Обновление + Поддержка»

Вместе с ПО организация может заключить договор на удаленное администрирование – сервис «Обновление + Поддержка». Удаленное администрирование продукта «Интернет Контроль Сервер», как правило, заказывают компании, которые хотят переложить задачи по настройке и сопровождению сервера на специалистов «А-реал Консалтинг» и получать все обновления программы бесплатно. Сервис включает в себя обновления ПО, постоянный мониторинг работы системы, решение всех задач по настройке сервера, оперативную реакцию на запросы клиентов, реализацию дополнительного функционала под организацию-заказчика и бесплатную лицензию на антивирус Dr.Web для интернет-шлюзов.

Интернет-шлюз «Интернет Контроль Сервер» - универсальный шлюз с инструментами для защиты корпоративной сети, учета трафика, управления доступом, развертывания почтового, прокси, файлового серверов, web- и jabber-серверов, организация IP-телефонии . Используется как универсальный комплекс для управления любым подключением к интернету.

Интернет-шлюз представляет собой аппаратно-программный комплекс для организации доступа к внешней сети (Интернет) из локальной сети. Это один из рабочих инструментов системного администратора, который позволяет ему контролировать учет трафика и доступ сотрудников во внешнюю сеть.

Интернет-шлюз предоставляет возможности распределения доступа среди пользователей, учёта трафика, ограничения доступа для отдельных пользователей или групп пользователей к ресурсам в Интернет. Шлюз может включать прокси-сервер, межсетевой экран, почтовый сервер, шейпер, антивирус и другие сетевые утилиты.

Интернет-шлюз может работать на одной из локальных машин сети, под управлением системы виртуализации или на отдельном сервере. Он может устанавливаться как программное обеспечение на машину с рабочей операционной системой, либо на пустой компьютер с полной установкой собственной операционной системы.

Сфера использования

Применим в сетях различной топологии как универсальный счётчик трафика. Управление доступно для управления системным администратором любого уровня квалификации.

Назначение и аудитория

Интернет Контроль Сервер - решение, которое подходит для использования индивидуальным предпринимателям, частным организациям, образовательным учреждениям, государственным и муниципальным структурам. На данный момент ИКС используют более 7000 клиентов в России и странах СНГ.

Функции ИКС

NAT

В составе решения работает сервис трансляции адресов - NAT. Внутренние интерфейсы определяют связь с компьютерами в локальной сети предприятия, а внешние - установление связи с провайдерами интернета или другой внешней сети. В большинстве случаев на внешних интерфейса настраивается сервис NAT для трансляции внутренних адресов во внешние. Поскольку внутренние компьютеры сети не видны снаружи, NAT также помогает защитить сеть.

После настройки сетевых интерфейсов следующий шаг администратора - подключение и настройка основных сервисов. Наиболее часто используемые из них - DNS, DHCP и прокси-сервера.

В части сетевых сервисов решение обеспечивает функционал:

Маршрутизация
Прокси (Proxy)
Сетевая трансляция адресов (NAT)
Сервер имен (DNS)
Сервис динамической конфигурации сети (DHCP)
ICQ-Бот (Уведомления на ICQ)
Работа с несколькими провайдерами
Работает с VLAN и DMZ
Поддержка PPPoE\PPTP VPN для пользователей
Функция WiFi-сетей в режиме клиента и точек доступа
GRE\IPIP VPN-туннели с IPSEC PSK шифрованием
OpenVPN-туннели

Контроль доступа в ИКС

Авторизация по имени/паролю
Авторизация по IP адресам
Авторизация через контроллер домена
Авторизация через VPN соединение (PPTP, PPoE, Radius)
Авторизация через программу-агент
Авторизация через логин/пароль в браузере
Авторизация пользователей терминального сервера
Layer 7-фильтрация
Контентная фильтрация с помощью SkyDNS
Контент-фильтр
Роли пользователей при работе с ИКС
Управление пользователями и группами
Разграничение доступа групп и пользователей
Ограничение доступа по IP:Port хоста
Ограничение доступа по URL
Веб-авторизация (captive portal)
Назначение приоритета трафика позволяет отдельным категориям трафика (например VoIP, SSH) ходить с наименьшими задержками
Для правил и профилей теперь можно задавать несколько временных диапазонов и дни недели
Квоты по дням, неделям, месяцам может быть ограничена диапазонам адресов и портов
Импорт пользователей из LDAP
Блокировка сайтов по категориям: сайты знакомств, развлекательные и т.д.
Туннели IPIP, GRE c IPSEC. OpenVPN
Запрет самовольного изменения адреса пользователями

Контроль трафика

Качественный контроль и учет трафика необходим, в первую очередь, организациям, сотрудники которых имеют доступ в Интернет. Счетчики интернет трафика позволяют осуществлять постоянный мониторинг входящих и исходящих данных.

Сетевые сервисы

Максимально полный набор лучших сетевых инструментов и сервисов в Интернет Контроль Сервере логично и понятно вписан в целостную систему. Основным направлением развития Интернет Контроль Сервера является создание и интеграция различных серверных и сервисных функций, которые делают работу корпоративной сети более управляемой и менее трудоемкой.

Интернет Контроль Сервер в сети способен заменить множество устройств, необходимых для поддержки сети и Интернет Контроль Сервер является полноценным маршрутизатором, на основе которого действует целый ряд функций:

Прокси-сервер позволяет получать детальную статистику по обращениям пользователей к WWW-серверам, блокировать доступ пользователей к определенным URL, оптимизировать работу в Интернет за счет кэширования запросов, что, в итоге позволяет достичь 10-30% экономии на потреблении трафика.

Почтовый сервер поддерживает несколько доменов и неограниченное количество почтовых ящиков
Поддерживает правила перенаправления почты, например можно рассылать входящую почту нескольким получателям или дублировать всю исходящую почту на какой-то ящик
Сборщик почты по расписанию получает почту с удалённого POP3-сервера и раскладывает её по почтовым ящикам
Многоуровневый спамфильтр с поддержкой RBL
Почтовый антивирус обнаруживает и удаляет почтовый сообщения с вирусами (поддерживаются антивирусы ClamAV и DrWeb)
Поддержка серых списков уменьшает количество приходящего спама и экономит трафик
Чёрные и белые списки позволяют управлять доступом к почтовому серверу
Веб интерфейс Roundcube
Почтовая рассылка
Веб-почта интегрирована с системной адресной книгой и другие преимущества

Встроенные веб и FTP-серверы

FTP - протокол, предназначенный для передачи файлов на ИКС, он позволяет размещать на сервере файлы и предоставлять им доступ по сети. Поддерживается анонимный вход и авторизация по логину и паролю. Для пользователей можно задавать различные права доступа.

Собственный веб-сервер помогает организовать корпоративный сайт, разметить веб-сервер в Интернете, создать внутренний сервер только для пользователей компании или набор виртуальных серверов для клиентов.

Поддерживает неограниченное количество виртуальных доменов
PHP 5.2 с основными расширениями
другие функции

Встроенный файловый сервер

По протоколу FTP
По протоколу HTTP

Отправка факсов на e-mail

Туннели для телефонии - если организация использует несколько серверов с IP-телефонией, их можно связывать при помощи SIP- или IAX-туннелей. Имеется очередь звонков.

JABBER-СЕРВЕР

С его помощью можно организовать обмен мгновенными сообщениями, как внутри сети предприятия, так и за ее пределами. Для пользователей ICQ реализована поддержка специального транспорта с возможностью контроля всей переписки.

Приложение Owncloud

Система для организации хранения, синхронизации и обмена данными, размещёнными на внешних серверах аналогично сервисам Google Docs и Dropbox .
Сетевая трансляция адресов (NAT). Позволяет, имея на внешнем интерфейсе всего один маршрутизируемый адрес, расположить внутри локальной сети сколь угодно много компьютеров. Также NAT помогает защитить сеть, поскольку внутренние компьютеры сети не видны снаружи.
Сервер имен DNS. Позволяет использовать ИКС, как в качестве кэширующего DNS-сервера, так и в качестве сервера, отвечающего за какой-либо домен. Можно создавать зоны, добавлять в них записи о компьютерах и серверах, редактировать информацию.
Сервер DHCP позволяет добавить в сеть новые компьютеры. DHCP-cервер автоматически выдаст компьютеру всю информацию, необходимую для работы в сети (IP-адрес, маска, маршрутизатор, DNS-сервер).
Контроль состояния Интернет подключения - сбор статистики по доступности сервиса, предоставляемого провайдером. Реализуется посредством периодических отправок ICMP ECHO REQUEST пакетов для нескольких адресов, критичных для пользователей корпоративной сети. Создает графические и текстовые отчеты, которые могут быть использованы для предъявления провайдеру претензий по качеству сервиса.
Оповещение администратора о внештатных ситуациях. При возникновении ошибок в операционной системе, компонентах Интернет Контроль Сервера, сбоев в Интернет подключении, подозрении на заражение вирусом внутреннего узла и т.п., Интернет Контроль Сервер рассылает сообщение об ошибке на указанный e-mail адрес и SMS сообщение на указанный номер сотового телефона. Для выполнения этих действий нужно работающее подключение к Интернету.
Контроль состояния самого Интернет Контроль Сервера. Позволяет пользователю получить информацию о том, что происходит с самим Интернет Контроль Сервером, и предотвратить появление возможных проблем. Эта подсистема генерирует графические отчеты по заполнению дисков, заполнению физической памяти, занятости файловых дескрипторов, заполнению виртуальной памяти, загрузке процессора, количеству сетевых соединений.
On-line обновления

Защита сети и персональных данных

Межсетевой экран ИКС, встроенный антивирус Dr.Web , Kaspersky Antivirus ,Kaspersky Antispam ,ClamAV, фильтрация входящего и исходящего трафика, модуль DLP - модуль защиты от утечек конфиденциальной информации, система отслеживания ICQ -сообщений, защита NAT, поддержка raid-1, DMZ, система обнаружения вторжении Snort.

VPN сервер

Функция NAT для перенаправления портов и VPN -сети, простая авторизация, динамическая адресация, автоматическое создание маршрутов в удаленную сеть для туннелей.

Контент-фильтр

IP-телефония

Позволяет организовать полноценный шлюз IP-телефонии вашей организации с возможностью фильтрации и перенаправления входящих и исходящих звонков. Поддержка протоколов SIP и IAX

Файловый и web-сервер

Файловый сервер с доступом по HTTP\FTP\ через сетевое окружение Windows (CIFS) и хранилище данных на основе надёжной системы ZFS с поддержкой RAID-0/1 и защитой от сбоев; полноценный web-сервер с поддержкой PHP и MySQL с поддержкой неограниченного количества web-сайтов.

Почта и jabber

Прокси-сервер, почтовый сервер, DNS, DHCP, Web, FTP, IPSEC-шифрование, связывание удаленных офисов в единую сеть.

2013

Интеграция с DLP-системой Zecurion Zgate

1 октября 2013 года компания Zecurion объявила об интеграции Zecurion Zgate и Интернет-шлюза ИКС.

Подробности

Компании Zecurion и «А-Реал Консалтинг» провели интеграцию системы защиты информации от утечек Zecurion Zgate и Интернет-шлюза «Интернет Контроль Сервер» (ИКС). Это существенно расширило возможности ИКС с функционалом Zecurion Zgate . Более 10 специализированных технологий анализируют содержимое пересылаемых сообщений, классифицируют информацию и выявляют её конфиденциальную составляющую.

«Теперь, с помощью Zecurion Zgate Интернет-шлюз ИКС может контролировать сообщения, посылаемые через почту, соцсети, сервисы для поиска работы, интернет-мессенджеры и прочие каналы передачи информации, - отметил Максим Никулин , директор по разработке Zecurion |. - Мы уверены, что новый функционал ИКС значительно повысит интерес к этому продукту со стороны потенциальных заказчиков».

«Мы рады сообщить о том, что в Интернет Контроль Сервере появилась возможность работы с
проводное,
беспроводное (Wi-Fi),
3G-модем.

ИКС может подключаться к VPN -серверам, сам исполнять роль VPN-сервера.

В ИКС имеется ARP-таблица, DHCP, перенаправление портов, таблица маршрутизации, межсетевой экран, сетевые утилиты. Среди утилит: ping, trace, опрос DNS, WhoIs, сниффер, тест скорости канала, сканер сети.

В составе продукта действует гибкая система подготовки отчетов по использованию сети, отражающую использование сети сотрудниками, пользователями, трафик пользователей, посещение сайтов, время посещения, длительность. Всего предусмотрено 15 предустановленных отчетов, без учета возможностей созданий дополнительных при помощи конструктора.

В ИКС используется антивирусный и антиспам-модули от «Лаборатории Касперского» . Они обеспечивают высокий уровень обнаружения и нейтрализации вирусов, троянов, руткитов, вредоносного ПО, нежелательной почты.

ИКС обнаруживает различные виды сетевых атак извне посредством анализа трафика при помощи набора автоматически подгружаемых правил. Если обнаруживается деструктивная деятельность, шлюз прерывает передачу данных и делает соответствующую пометку в журнале.

Для защиты конфиденциальной информации в ИКС применяется DLP -фильтр (Data Leak Prevention), анализирующий веб- и почтовый трафик. Он фильтрует текст и файлы, как текстовые, так и другие, работает в качестве защиты от инсайдеров.

Назначение и аудитория
Интернет-шлюз ИКС ориентирован на руководителей информационных отделов, ИТ-специалистов, чья работа связана с обеспечением бесперебойного функционирования корпоративной сети, защитой персональных данных и информации.