Защищённый интернет-шлюз: возможно ли импортозамещение? Файловый и web-сервер. Встроенные веб и FTP-серверы

Напоминаем, что попытки повторить действия автора могут привести к потере гарантии на оборудование и даже к выходу его из строя. Материал приведен исключительно в ознакомительных целях. Если же вы собираетесь воспроизводить действия, описанные ниже, настоятельно советуем внимательно прочитать статью до конца хотя бы один раз. Редакция 3DNews не несет никакой ответственности за любые возможные последствия.

Затем надо выбрать жёсткий диск, куда будет установлен ИКС, выставить время и часовой пояс, а затем дождаться окончания базовой установки системы. После перезагрузки начнётся установка модулей ИКС, которая займёт ещё некоторое время. Суммарно на инсталляцию уйдёт не более получаса. В самом конце установщик сообщит адрес веб-интерфейса ИКС, а также логин и пароль администратора, которые по умолчанию равны root и 00000 (пять нолей). Не забудьте нажать в этом «окне» кнопку ОК, иначе необходимые сервисы не запустятся.

Затем к локальному сетевому интерфейсу надо подключить другой компьютер и в настройках сети вручную указать IP-адрес из выбранной во время инсталляции подсети. В нашем примере это была подсеть 192.168.0.0 с маской 255.255.255.0 (24).

⇡ Настройка

Итак, авторизуемся с логином и паролем администратора. Как обычно, предлагается произвести базовую настройку системы с помощью специального мастера, заполнив перед этим карточку с данными о вашей организации и запросив лицензию на Lite-версию. Если мастер не запустился или вы потом ещё раз захотите всё перенастроить, то его можно запустить из раздела «Обслуживание» → «Система». В мастере крайне рекомендуется поменять пароль администратора и заполнить или изменить остальные параметры по своему усмотрению.

Следующим нашим шагом будет настройка сетевых интерфейсов и подключение к интернет-провайдеру. Поддерживаются и столь любимые нашими операторами PPTP/PPPoE. Также можно настроить подключение сразу к нескольким провайдерам в различных вариациях. Ещё одна приятная фишка — использование сторонних DNS-сервисов, а значит и дополнительный уровень надёжности и/или фильтрации и защиты. Имеется и поддержка DDNS-сервисов dyndns и no-ip. Чтобы включить её, после завершения работы мастера в подразделе «Провайдеры и сети» надо выбрать нужного провайдера и кликнуть на «Подробнее». Для локального интерфейса лучше всего включить DHCP-сервер. После окончания настройки убедитесь, что запущен межсетевой экран. К нему мы ещё вернёмся.

Теперь займёмся группами пользователей в разделе «Пользователи и статистика». Первым делом нам надо создать новую группу. Проще всего кликнуть на иконку волшебной палочки в верхней строке для запуска мастера. Для группы нам надо выделить набор IP-адресов из локальной подсети. Не забываем, что у нас ограничение всего в восемь клиентских машин.

После создания группы выберите её в списке и снова запустите мастер, на этот раз для добавления пользователя. Выберите для него логин и пароль, а также IP-адрес из того диапазона, который ранее мы указали для нашей группы.

С помощью логина и пароля пользователь может авторизоваться в веб-интерфейсе ИКС и, в зависимости от назначенной роли, просто посмотреть свою статистику или отредактировать параметры других пользователей. С их же помощью можно удалённо подключаться к офисной сети посредством VPN. Настройку соединения на клиентской машине мы уже рассматривали не раз . В самом ИКС в разделе «Сеть» → VPN надо запустить VPN-службы, выбрать авторизацию по логину и паролю, а также отметить галочками тех пользователей, которым будет доступно подключение к серверу.

Теперь займёмся локальной сетью. Для начала привяжем IP-адреса наших пользователей к MAC-адресам, чтобы каждый из клиентов всегда получал один и тот же IP. Делается это, например, в разделе «Сеть» → «ARP-таблица». В первый раз можно вручную прописать на каждом ПК нужный IP-адрес, подключить его к локальной сети, а затем связать IP и MAC и выставить на ПК получение параметров по DHCP. Либо просто положиться на встроенный в ИКС DHCP-сервер, который будет выдавать клиентам IP в порядке очереди.

Полезно будет включить и встроенный прокси-сервер для кеширования и фильтрации трафика. В его настройках надо включить авторизацию по логину и паролю, выбрать в порядке авторизации пункт «Только по IP» и отметить галочкой пункт «Использовать прозрачный прокси». По желанию можно изменить размер кеша на диске и включить антивирусное сканирование. В нашем случае лучше выбрать бесплатный ClamAV, а DrWeb вообще отключить.

Перейдём к самому важному — правилам доступа и всему, что с ними связано. Сами правила определяют, куда можно пользователю/группе «ходить», а куда нельзя. Правила можно объединять в наборы (профили) для упрощения работы с ними и массового применения к группам пользователей. Пользовательские правила делятся на две категории — обычные и прокси. Обычные позволяют фильтровать обращения к определённым хостам (сайтам, IP-адресам и так далее) и портам или их диапазонам. Правила прокси же работают только с HTTP(S). В самом ИКС уже встроены так называемые категории трафика — наборы определённых URL-адресов и их частей для выявления обращения к какому-либо виду контента (порно, зловреды, баннеры и так далее). Все правила позволяют задать источник (ПК, с которого идёт запрос) и время действия. Заметьте, что разрешающие правила всегда применяются перед запрещающими. В остальном порядок их добавления не играет особой роли.

Также в пользовательских правилах можно включить ограничение скорости доступа или, наоборот, выделить под какой-то конкретный ресурс определённую полосу пропускания (например, для просмотра потокового видео), добавить маршрут и выделить пользователю определённый объём доступного трафика. В общем и целом система правил только на первый взгляд кажется запутанной и сложной, но на деле она достаточно простая для понимания и при этом очень гибкая.

А теперь вернёмся к межсетевому экрану. В нём тоже есть наборы правил, которые работают с целыми сетями или отдельными узлами. Помимо стандартных разрешающих и запрещающих правил, маршрутов и ограничений скорости, экран также позволяет выставлять приоритеты для трафика и настраивать перенаправления портов. Если вы не уверены в своих действиях, то лучше межсетевой экран вообще не трогать. В нём уже есть несколько преднастроенных наборов правил по умолчанию, которые обеспечивают необходимую защиту и в то же время не мешают нормальной работе.

Основные принципы лицензирования ПО «Интернет Контроль Сервер»

Лицензирование программы «Интернет Контроль Сервер» зависит от количества зарегистрированных пользователей в системе. Лицензии приобретаются пакетами по числу пользователей, в дальнейшем при увеличении количества сотрудников компания может докупать дополнительные лицензии.

Лицензия является бессрочной, на первый год ее использования заказчикам бесплатно предоставляется подписка на сервис «Обновление + Поддержка», включающий в себя услуги по сопровождению и обновлению продукта. По истечении первого года, чтобы продолжать получать обновления и поддержку, организации необходимо приобрести продление подписки еще на один год.

Дополнительно к лицензии можно купить комплект «DVD диск + документация». В состав пакета входят фирменная DVD-коробка, компакт-диск с дистрибутивом ИКС и инструкция по установке.

Варианты покупки продукта «Интернет Контроль Сервер»

  • Программа – полностью программное решение, стоимость которого зависит от принадлежности заказчика к той или иной группе организаций: малого бизнеса («ИКС Малый бизнес»), средних и крупных компаний (редакция «ИКС Стандарт»), бюджетных и учебных учреждений.
  • Программно-аппаратный комплекс – готовый физический сервер с установленным ПО «Интернет Контроль Сервер». Стоимость АПК зависит от принадлежности заказчика к той или иной группе организаций: малому бизнеса («ИКС Малый бизнес»), средних и крупных компаний (редакция «ИКС Стандарт»), бюджетных и учебных учреждений.
  • Dr.Web для ИКС специальный антивирус для интернет-шлюзов, который может приобретаться в дополнение к продукту «Интернет Контроль Сервер». При покупке сервиса «Обновление + Поддержка» лицензия на антивирус Dr.Web предоставляется бесплатно.
  • Сертифицированная ФСТЭК версия – редакция, предназначенная для защиты конфиденциальной информации и персональных данных. Поставка включает в себя лицензию и физический комплект. Заказчики могут приобрести сертифицированную ФСТЭК версию в качестве первичной покупки или как переход.

Льготный переход на «Интернет Контроль Сервер»

При переходе на интернет-шлюз «Интернет Контроль Сервер» с аналогичного программного обеспечения организации-заказчику предоставляется скидка 50% . Для льготного перехода необходимо сообщить название продукта, предоставить цветную скан-копию лицензионного договора или копию лицензии на продукт, с которого осуществляется переход, свои регистрационные данные: имя, адрес электронной почты и телефон.

Специальное предложение для бюджетных организаций

При покупке ПО «Интернет Контроль Сервер» бюджетным учреждениям предоставляется скидка 30%. Кроме того, эти организации могут приобрести данный интернет-шлюз с рассрочкой оплаты (возможны различные формы оплаты).

Пакет «Обновление + Поддержка»

Вместе с ПО организация может заключить договор на удаленное администрирование – сервис «Обновление + Поддержка». Удаленное администрирование продукта «Интернет Контроль Сервер», как правило, заказывают компании, которые хотят переложить задачи по настройке и сопровождению сервера на специалистов «А-реал Консалтинг» и получать все обновления программы бесплатно. Сервис включает в себя обновления ПО, постоянный мониторинг работы системы, решение всех задач по настройке сервера, оперативную реакцию на запросы клиентов, реализацию дополнительного функционала под организацию-заказчика и бесплатную лицензию на антивирус Dr.Web для интернет-шлюзов.

20.11.2014, ЧТ, 16:11, Мск

Бизнес сегодня заинтересован в многоуровневой защите для противодействия взломам и вирусному заражению. Популярные западные решения слишком дорогие, сложные, а в свете санкций еще и создают риски возникновения проблем в будущем. В то же время отечественная компания «А-Реал Консалтинг» создала свое решения для защиты интернет-шлюзов ИКС (Интернет Контроль-Сервер).

Сегодня рынок защищенных интернет-шлюзов (Secure Web Gateways, SWG) оживлен. Так, «Лаборатория Касперского» только лишь за один день обрабатывает более 315 тыс. образцов уникального вредоносного ПО. Столкнувшись с этим фактом, а также с последствиями вирусного заражения или взлома, даже самые оптимистично настроенные владельцы бизнеса осознают, что слишком много защиты не бывает. И потому все больше и больше компаний и организаций, особенно с развитой ИТ-инфраструктурой, принимают на вооружение концепцию многоуровневой защиты, где конечные узлы сети и хранилища данных огораживаются несколькими контурами защитных решений.

Актуальность использования SWG-решений подтверждают и эксперты. Например, Юрий Черкас , руководитель направления инфраструктурных решений ИБ Центра информационной безопасности компании «Инфосистемы Джет», утверждает, что, по собственной статистике его компании, объем проектов по Secure Web Gateways уверенно занимает второе место в портфеле решений по защите периметра ИТ-инфраструктуры после FW/IPS: «При этом 2014 г. более динамичен по сравнению с предыдущим. Одной из основных причин является окончание поддержки Microsoft TMG». С ним согласен и Алексей Патрикеев , ведущий эксперт практики инфраструктурных решений компании «Астерос Информационная безопасность»: «Последние несколько лет рынок SWG растет как по финансовым показателям, так и по функциональным возможностям. Web – самый популярный способ предоставления сервисов в интернете, и вполне логично, что он заслуживает соответствующего внимания». По мнению Ивана Батова , директора департамента «Инжиниринговый центр» компании «Техносерв», выделение платформы для различных сегментов актуально для крупных заказчиков и дата-центров. Также он прокомментировал: «С течением времени потребность в SWG возрастает, и как малые, так и крупные заказчики проявляют к ним достаточно высокий интерес. Для SMB сектора наиболее интересны решения на базе межсетевых экранов со встроенным функционалом контентной фильтрации и антиспамом, например, Check Point или StoneSoft, или же это может быть отдельное решение, например, Barracuda Networks, ввиду его невысокой стоимости».

Одним из важнейших контуров по праву считаются SWG-решения. Шлюз развертывается на точке входа в локальную сеть из глобального Интернета, он позволяет разом обеспечить защиту всех внутренних ресурсов компании. К тому же такой шлюз, как правило, позволяет нейтрализовать последствия невнимательности пользователей или инсайдерский злой умысел – даже если сотрудник по какой-либо причине отключит антивирус на своем компьютере, шлюз все равно сможет перехватить входящий вирус или пресечет попытку соединиться с вредоносным сетевым ресурсом. Эксперты уточняют, какие именно функции нужны для полноценной защиты периметра корпоративной сети. Например, Юрий Черкас выделяет: «Контроль приложений и операций WEB 2.0, продвинутая защита от вредоносного ПО, проксирование и оптимизация работы популярных протоколов WEB, Stream Media, P2P, инспектирование SSL, а также разноуровневая аналитика использования ресурсов интернета». Алексей Патрикеев добавляет, что SWG «заточен» под решение прикладной задачи – защиты web, а для полноценной защиты периметра необходимы и другие функции: «IPS, Security Mail Gateway, Anti-ddos, DLP и многие другие».

Подавляющее большинство популярных в России разработчиков защищенных шлюзов – это американские компании: Cisco, Websense, Palo Alto Networks и т.д. При этом совершенно не факт, что приобретение западного решения будет оптимальным шагом. Продукты рыночных хедлайнеров обходятся ощутимо дороже отечественных из-за переплаты за бренд, ввозных пошлин, наценки импортера и большой TCO зарубежного продукта.

В свете вышеизложенного многие работающие в России организации начинают пристальнее рассматривать отечественных производителей защищенных шлюзов. Российская компания «А-Реал Консалтинг» разработала свое решение ИКС (Интернет Контроль-Сервер) и получила на него сертификацию ФСТЭК.

ИКС в качестве интернет-шлюза

ИКС развертывается на периметре корпоративной сети, защищая ее извне и полностью контролируя внутри. Он обеспечивает защиту корпоративной сети от вредоносного ПО и спама, позволяет осуществлять учет трафика, управлять доступом, организовывать IP-телефонию на основе Asterisk, развертывать почтовые, прокси-, файловые, веб- и jabber- серверы. С его помощью появляется возможность как управлять общим доступом в Интернет, так и создавать белые/черные списки сайтов, контролировать доступ к социальным сетям, пресекать доступ к ресурсам с нежелательным контентом и ограничивать время использования Интернета. Специальный режим фильтрации позволяет блокировать доступ к любым ресурсам, кроме входящих в доверенный белый список. В основе решения лежит открытая система FreeBSD 9.2, объединенная в удобный интерфейс со всеми настроенными сервисами.

ИКС поддерживает достаточное количество каналов связи с внешним миром. Это может быть и проводное, и беспроводное (Wi-Fi) соединение, даже 3G модем. При этом ИКС может подключаться к VPN-серверам и сам играть роль VPN-сервера.

Как и у каждого качественного роутера, в ИКС имеется ARP-таблица, DHCP, перенаправление портов, таблица маршрутизации, межсетевой экран, сетевые утилиты. Среди утилит – уже ставшие стандартом де-факто ping и trace, опрос DNS, WhoIs, снифер, тест скорости канала и даже сканер сети. Коммуникационные возможности включают в себя встроенный сервер почты с удобным веб-интерфейсом, Jabber, а также сервер IP-телефонии на основе Asterisk. Для организации корпоративного портала будет полезен встроенный веб-сервер с поддержкой PHP и MySql.

ИКС включает в себя гибкую систему отчетности по использованию сети. Тут можно посмотреть, кто из пользователей использовал больше всего трафика, какие сайты посещал, сколько времени на них было проведено. Всего предусмотрено 15 предустановленных отчетов, не считая тех, что вы можете создать с помощью конструктора.

Важной функцией является защита от вредоносных программ и спама. Для этого ИКС использует антивирусный и антиспам-модули от «Лаборатории Касперского». Они обеспечивают высокий уровень обнаружения и нейтрализации вирусов, троянов, руткитов и прочего вредоносного ПО, а также нежелательной почты.

ИКС также умеет обнаруживать различные виды сетевых атак извне, анализируя трафик с помощью набора автоматически подгружаемых правил. Если обнаруживается деструктивная деятельность, шлюз прерывает передачу данных и делает соответствующую пометку в журнале.

Для защиты конфиденциальной информации в ИКС применяется DLP-фильтр (Data Leak Prevention), анализирующий не только веб-, но и почтовый трафик. Он позволяет осуществлять фильтрацию не только текста, но и файлов – как текстовых, так и любых других, и хорошо работает в качестве защиты от инсайдеров.

Целевая аудитория

ИКС может заинтересовать разную аудиторию. Например, руководителей информационных отделов и ИТ-специалистов, чья работа непосредственно связана с обеспечением бесперебойного функционирования корпоративной сети и защитой персональных данных и информации.

Средний и малый бизнес наверняка оценит ИКС из-за простоты настройки и установки – начать пользоваться им могут даже люди без технического образования. Это хорошо для тех предприятий, где в штате могут отсутствовать выделенные ИТ-специалисты.

Использовать ИКС можно даже в школах. Это обусловлено соблюдением Федерального закона № 436-ФЗ «О защите детей от информации, причиняющей вред их здоровью и развитию». ИКС соответствует требованиям регулирующих органов и рекомендован для использования в образовательных учреждениях.

Интернет Контроль Сервер существует на рынке информационных решений более 10 лет, за это время его стало использовать множество компаний по всей России. В их числе – предприятия ТЭК, банки, медицинские, образовательные учреждения, административные органы.

Компания «А-Реал Консалтинг» постоянно ведет работы по улучшению продукта и планирует обновить сертифицированную версию ФСТЭК. Для аппаратной версии ИКС доступны серверы, разработанные Depo Computers и «Аквариус». Сфера ИТ-решений – одна из наиболее быстро меняющихся и развивающихся, поэтому просто поддерживать работоспособность программы сегодня уже недостаточно – требуются постоянные усовершенствования и нововведения. Для оценки возможностей ИКС существует бесплатная демо-версия на 35 дней.

Функционал системы:

    Базовые принципы системы

    Почему для установки ИКС требуется отдельный компьютер? Как создать пользователей?

    Доступ в Интернет в ИКС предоставляется объектам тарификации – пользователям. Для того, чтобы выпустить какой-либо компьютер в Интернет, необходимо произвести следующие действия:

    В модуле «пользователи» нажать на кнопку «добавить» и ввести имя пользователя. Также можно ввести логин и пароль, при этом у данного пользователя появится возможность удалённо подключаться к серверу через VPN и выходить в интернет с помощью логина и пароля.

    Авторизация по логину/паролю
    После создания пользователя, если ему был задан логин и пароль, мы можем получить доступ к Интернету, прописав в настройках его веб-браузера прокси-сервер: 192.168.0.254 и порт 3128.

    При попытке выхода в Интернет, ИКС спросит у пользователя его логин и пароль. Такая схема работы называется «авторизацией по логину/паролю».

    Для того чтобы выдать пользователю ip-адрес, необходимо кликнуть на имя пользователя в списке в модуле «пользователи», при этом откроется страница с информацией о выбранном пользователе.

    Затем нужно открыть вкладку ip-адреса, нажать кнопку «добавить» и задать адрес, выделенный для этого пользователя. . Как проверить наличие Интернет?

    Для этого Вам необходимо зайти в модуль Сетевые утилиты (пинг, трейс, днс, whois, дамп, netstat (2.3), ifconfig(2.3)) и посмотреть идут ли пинги.

    Как отключить Интернет у пользователей?

    Для того, чтобы закрыть пользователям доступ на какой-то хост в Интернете, либо запретить доступ по какому-то порту, необходимо создать запрещающее правило. Для этого необходимо зайти на страницу пользователя или группы, которому необходимо ограничить доступ, открыть вкладку «Правила и ограничения» и выбрать пункт «Добавить→Запрещающее правило»

    При создании запрещающего правила, можно указать адрес назначения, порт назначения и протокол соединения. Адрес назначения может быть как именем хоста, так и ip-адресом или ip-диапазоном в формате адрес\префикс.

    1) Перейдите на страницу управление пользователями/пользователи.
    2) Кликните имя пользователя, у которого требуется посмотреть статистику.
    3) Откройте вкладку статистика.
    3) Вкладка детализированная статистика.
    4) В опциях статистики выберите сортировать: по размеру.
    5) Нажмите кнопку запомнить и обновить.

    Как сделать одинаковые правила для нескольких групп?

    Для этого необходимо создать профиль доступа и задать его данным группам и/или пользователям.
    Профиль доступа – это список правил доступа, предназначенный для нескольких пользователей, возможно, не входящих в состав одной группы, для которых требуется доступ только к определённым ресурсам, а доступ к другим ресурсам должен быть ограничен. Чтобы создать профиль доступа, сделайте следующее.

    1) Перейдите на страницу «Управление пользователями/профили доступа».
    2) Выберите тип создаваемого профиля (http или ipfw).
    3) Добавьте новый профиль и сформируйте список правил для данного профиля. Это делается аналогично тому, как формируется список правил для отдельного пользователя.

    Чтобы задать данный профиль группе или пользователю, сделайте следующее:
    2) Кликните имя пользователя, для которого требуется задать профиль доступа.
    3) Откройте вкладку http правила или ipfw правила.
    4) В форме «Добавить профиль» из списка профилей выберите нужный.
    5) Выберите, в какое место уже имеющегося списка правил и профилей вставить данный профиль, учитывая приоритет уже имеющихся правил и профилей и данного профиля.
    6) Нажмите кнопку «Добавить профиль».

    Почему пользователь не может выйти в Интернет?
    • Включена авторизация по IP-адресу, при этом за пользователем не закреплен IP-адрес компьютера, за которым он в данный момент работает.

      3) Откройте вкладку «ip-адрес»;
      4) Проверьте, содержит ли список «Адреса IP» адрес компьютера, за которым пользователь в данный момент работает.
    • Выключен генератор правил межсетевого экрана.
      1) Перейдите на страницу настройка системы/межсетевой экран;
      2) Кликните ссылку «Включить генератор»;
      3) Кликните ссылку «Сгенерировать».
    • Включена авторизация по логину/паролю, при этом:
      в свойствах web-браузера пользователя не настроено использование прокси-сервера; при запросе страницы введены неверные данные (логин и/или пароль).
    • В системе настроено использование авторизации через контроллер домена, при этом: на компьютере пользователя не запущена программа авторизации;
      значок программы авторизации (он находится в трее – в правом нижнем углу экрана) имеет красный цвет: проверьте, создана ли в системе учетная запись для данного пользователя.
    • Неисправна локальная сеть, внешнее подключение Интернет Контроль Сервера, либо проблемы с Интернет-подключением имеются у Вашего провайдера:
      в таком случае проблема с выходом в Интернет может быть не у одного, а сразу у нескольких или даже всех пользователей сети.
    Почему web открывается, а аська не ходит?

    Установлен тип авторизация на прокси: на основе логина/пароля, при этом за пользователем не закреплен IP-адрес компьютера, за которым он в данный момент работает:
    1) Перейдите на страницу управление пользователями/пользователи;
    2) Кликните имя данного пользователя;
    3) Откройте вкладку ip-адрес;
    4) Проверьте, содержит ли список «Адреса IP» адрес компьютера, за которым пользователь в данный момент работает.

    Как запретить группе скачивать видео?

    1) Перейдите на страницу «Управление пользователями/пользователи».
    2) Кликните нужную группу.
    3) Откройте вкладку «http-правила».
    4) Заполните форму «Добавить правило доступа в список правил http доступа»:
    правило: .*\.avi$|.*\.mpеg$|.*\.mpeg4$|.*\.mpg$|.*\.mvi$
    В эту строку можно добавить и другие форматы файлов: новые ветви вида.*\.расширение_файла$
    Отдельные ветви отделяются друг от друга символом |
    доступ: запрещен
    добавить: в начало
    5) Нажмите кнопку «Добавить правило».

    Как установить ограничение по скорости для группы пользователей?

    1) Перейдите на страницу «Управление пользователями/пользователи».
    2) Отметьте галочками пользователей, у которых Вы хотите изменить ограничение скорости.
    3) В поле «Множественные операции» внизу страницы отметьте галочку «Изменить скорость канала».
    4) В поле справа укажите скорость в байтах в секунду.
    5) Нажмите кнопку «Задать параметры».

    Как перезагрузить систему удаленно?

    1) Перейдите на страницу «Настройка системы/конфигурация системы».
    2) Нажмите ссылку «Перезагрузка».
    Здесь же можно запланировать перезагрузку на определенную дату и время.

    Как установить обновления? ИКС автоматически проверяет доступность новых обновлений и, если таковые будут найдены, и при входе в веб-интерфейс Вы увидите соответствующее сообщение.

    В модуле обновлений отображается наличие обновлений и их готовность к установке. Также здесь отображается история версий ИКС. Из неё можно узнать о том, какие функции и исправления входят в новое обновление.

    Установка обновлений

    При входе в модуль обновлений, ИКС проверит доступные обновления. В случае, если таковые будут найдены, появится кнопка «Скачать», при нажатии на которую начнется загрузка обновления. Если обновление уже было скачано, станет доступна кнопка «установить», на которую и нужно будет нажать для начала установки. При установке обновления сервер остановит все сетевые службы, затем выполнит установку новых компонентов и перезагрузится.

    Автоматическое скачивание обновлений и бета-версии

    Чтобы избавиться от необходимости ручной проверки и скачивания обновлений, Вы можете настроить ИКС на автоматическое скачивание обновлений. Для этого на вкладке «Настройки» поставьте галочку на пункте «Автоматически скачивать обновления» . Также можно указать период скачивания. Если Вы хотите быть в курсе всех новых возможностей системы и хотите попробовать эти возможности ещё до выхода официального релиза, поставьте галочку «скачивать экспериментальные версии».
    Внимание! Стоит учитывать, что некоторые новые функции в бета-версиях могут работать не вполне корректно, поэтому Вы используете эту функцию на свой страх и риск.

    Могу ли я в качестве сетевого интерфейса смотрящего в интернет использовать USB-модем БИЛАЙН модели GlobeTrotter (производитель OPTION NV), который в ОС Windows при установке, создает сетевой интерфейс. И как это будет выглядеть в Вашем программном продукте?

    Да, с версии ИКС 2.2.3.6583 Вы можете использовать такие модемы. Выглядит это следующим образом: После подключения USB-модема нужно будет создать 3G-провайдера, там указать все настройки(пин, точка доступа...).

    Пользователю закрыт доступ ко всем сайтам в профиле "Пользователи", необходимо открыть доступ на сайт "ya.ru" В какой раздел и в каком порядке внести разрешающее правило прокси?

    Нужно создать отдельный профиль для юзера, в котором добавить 2 правила - запретить все и разрешить нужное ya.ru

    DHCP... как выделять адресные диапазоны?

    В настройках локальной сети (провайдеры и сети), чтобы привязать к маку, надо прописать адрес у юзеров руками, при этом не будет работать домен на авторизацию (точнее, юзеры смогут выходить по ip).

    Подскажите, пожалуйста, встроенный Jabber ретранслирует ICQ в тырнет? Можно сделать так, чтобы внутрисетевые переговоры не выходили наружу? Или для внутренних разговоров - Jabber, а для внешних Аська через 5190?

    Ретранслирует, там есть опция

    При авторизации сведения берутся из локальной базы или из директории?

    Логины - из локальной, пароли - из AD

    Как в ИКС осуществляется работа с несколькими провайдерами, возможно ли быстрое переключение с одного на другого в случае отказа одного из них?

    Переключение между провайдерами в ИКС осуществляется автоматически. В случае падения основного провайдера поднимается резервный/

    Tсли доступ к региональным ресурсам провайдеры никак не тарифицируют (т.е. бесплатны внутри города), можно ли как-то создать отдельные правила для таких адресов?

    Отдельные нетарифицируемые как внешние источники подсети в ИКС можно настраивать и добавлять в любых количествах и применять к ним любые правила.

    Можно ли прикручивать внешние black list сайтов как пользователям, так и группам (причем по категориям), потому как у нас сейчас закрыто порядка 5 тысяч различных порно, мультимедийных и развлекательных ресурсов, причем большая часть списка?

    Предоставляет сам rejik.
    В ИКС есть понятие «Категории», в которые заносятся списки нежелательных или наоборот разрешенных сайтов. Эти списки совместимы со списками rejik’а.

    Возможно ли назначение квот на группу пользователей без назначения отдельной квоты каждому из этой группы?

    Назначение квот осуществляется как на каждого пользователя, так и на группу целиком.

    В случае если ваши внутренние маршрутизаторы не транслируют адреса пользователей через NAT, статистика на ИКСе будет собираться обычным образом.

    Создание нескольких провайдеров на одном физическом интерфейсе на ИКС возможно.

    В нашей компании офисы находятся в разных городах, и у каждого офиса разные провайдеры. Можно ли нам внедрить Вашу программу по ограничению интернет-ресурсов, если да, то как?

    Возможно 2 варианта внедрения:

    1 - создать впн-юзеров (это удаленные офисы), чтобы они подключались удаленно и ходили через ИКС, но это загрузит канал.
    2 - поставить везде по ИКС и соединить туннелями.

    Вам нужно применить фильтр "по протоколам/портам"

    Где в dhcp настроить пул адресов?

    В настройках локальной сети.

    Есть сетевой инструмент мониторинга и возможность создания карты сети?

    В модуле «Мониторинг» Вы можете посмотреть статистику использования сетевых и системных ресурсов, а также различных показателей системы, таких как виртуальная память, загрузка процессора, загрузка системы, пинг до ya.ru, трафик на сетевых интерфейсах и др. На каждый из пунктов строится несколько графиков, различных по временному интервалу: за последний час, 6 часов, день, неделю, и т.д.

    Как настроить доступ снаружи по VPN?

    Доступ настраивается в разделе "провайдеры и сети".Добавляется сеть VPN, а пользователи, которым должен быть выдан доступ к внутренней сети по VPN, помечаются галочками, в соответствующем модуле VPN во вкладке "пользователи"

Интернет-шлюз «Интернет Контроль Сервер» - универсальный шлюз с инструментами для защиты корпоративной сети, учета трафика, управления доступом, развертывания почтового, прокси, файлового серверов, web- и jabber-серверов, организация IP-телефонии . Используется как универсальный комплекс для управления любым подключением к интернету.

Интернет-шлюз представляет собой аппаратно-программный комплекс для организации доступа к внешней сети (Интернет) из локальной сети. Это один из рабочих инструментов системного администратора, который позволяет ему контролировать учет трафика и доступ сотрудников во внешнюю сеть.

Интернет-шлюз предоставляет возможности распределения доступа среди пользователей, учёта трафика, ограничения доступа для отдельных пользователей или групп пользователей к ресурсам в Интернет. Шлюз может включать прокси-сервер, межсетевой экран, почтовый сервер, шейпер, антивирус и другие сетевые утилиты.

Интернет-шлюз может работать на одной из локальных машин сети, под управлением системы виртуализации или на отдельном сервере. Он может устанавливаться как программное обеспечение на машину с рабочей операционной системой, либо на пустой компьютер с полной установкой собственной операционной системы.

Сфера использования

Применим в сетях различной топологии как универсальный счётчик трафика. Управление доступно для управления системным администратором любого уровня квалификации.

Назначение и аудитория

Интернет Контроль Сервер - решение, которое подходит для использования индивидуальным предпринимателям, частным организациям, образовательным учреждениям, государственным и муниципальным структурам. На данный момент ИКС используют более 7000 клиентов в России и странах СНГ.

Функции ИКС

NAT

В составе решения работает сервис трансляции адресов - NAT. Внутренние интерфейсы определяют связь с компьютерами в локальной сети предприятия, а внешние - установление связи с провайдерами интернета или другой внешней сети. В большинстве случаев на внешних интерфейса настраивается сервис NAT для трансляции внутренних адресов во внешние. Поскольку внутренние компьютеры сети не видны снаружи, NAT также помогает защитить сеть.

После настройки сетевых интерфейсов следующий шаг администратора - подключение и настройка основных сервисов. Наиболее часто используемые из них - DNS, DHCP и прокси-сервера.

В части сетевых сервисов решение обеспечивает функционал:

  • Маршрутизация
  • Прокси (Proxy)
  • Сетевая трансляция адресов (NAT)
  • Сервер имен (DNS)
  • Сервис динамической конфигурации сети (DHCP)
  • ICQ-Бот (Уведомления на ICQ)
  • Работа с несколькими провайдерами
  • Работает с VLAN и DMZ
  • Поддержка PPPoE\PPTP VPN для пользователей
  • Функция WiFi-сетей в режиме клиента и точек доступа
  • GRE\IPIP VPN-туннели с IPSEC PSK шифрованием
  • OpenVPN-туннели

Контроль доступа в ИКС

  • Авторизация по имени/паролю
  • Авторизация по IP адресам
  • Авторизация через контроллер домена
  • Авторизация через VPN соединение (PPTP, PPoE, Radius)
  • Авторизация через программу-агент
  • Авторизация через логин/пароль в браузере
  • Авторизация пользователей терминального сервера
  • Layer 7-фильтрация
  • Контентная фильтрация с помощью SkyDNS
  • Контент-фильтр
  • Роли пользователей при работе с ИКС
  • Управление пользователями и группами
  • Разграничение доступа групп и пользователей
  • Ограничение доступа по IP:Port хоста
  • Ограничение доступа по URL
  • Веб-авторизация (captive portal)
  • Назначение приоритета трафика позволяет отдельным категориям трафика (например VoIP, SSH) ходить с наименьшими задержками
  • Для правил и профилей теперь можно задавать несколько временных диапазонов и дни недели
  • Квоты по дням, неделям, месяцам может быть ограничена диапазонам адресов и портов
  • Импорт пользователей из LDAP
  • Блокировка сайтов по категориям: сайты знакомств, развлекательные и т.д.
  • Туннели IPIP, GRE c IPSEC. OpenVPN
  • Запрет самовольного изменения адреса пользователями

Контроль трафика

Качественный контроль и учет трафика необходим, в первую очередь, организациям, сотрудники которых имеют доступ в Интернет. Счетчики интернет трафика позволяют осуществлять постоянный мониторинг входящих и исходящих данных.

Сетевые сервисы

Максимально полный набор лучших сетевых инструментов и сервисов в Интернет Контроль Сервере логично и понятно вписан в целостную систему. Основным направлением развития Интернет Контроль Сервера является создание и интеграция различных серверных и сервисных функций, которые делают работу корпоративной сети более управляемой и менее трудоемкой.

Интернет Контроль Сервер в сети способен заменить множество устройств, необходимых для поддержки сети и Интернет Контроль Сервер является полноценным маршрутизатором, на основе которого действует целый ряд функций:

  • Прокси-сервер позволяет получать детальную статистику по обращениям пользователей к WWW-серверам, блокировать доступ пользователей к определенным URL, оптимизировать работу в Интернет за счет кэширования запросов, что, в итоге позволяет достичь 10-30% экономии на потреблении трафика.
  • Почтовый сервер поддерживает несколько доменов и неограниченное количество почтовых ящиков
  • Поддерживает правила перенаправления почты, например можно рассылать входящую почту нескольким получателям или дублировать всю исходящую почту на какой-то ящик
  • Сборщик почты по расписанию получает почту с удалённого POP3-сервера и раскладывает её по почтовым ящикам
  • Многоуровневый спамфильтр с поддержкой RBL
  • Почтовый антивирус обнаруживает и удаляет почтовый сообщения с вирусами (поддерживаются антивирусы ClamAV и DrWeb)
  • Поддержка серых списков уменьшает количество приходящего спама и экономит трафик
  • Чёрные и белые списки позволяют управлять доступом к почтовому серверу
  • Веб интерфейс Roundcube
  • Почтовая рассылка
  • Веб-почта интегрирована с системной адресной книгой и другие преимущества

Встроенные веб и FTP-серверы

FTP - протокол, предназначенный для передачи файлов на ИКС, он позволяет размещать на сервере файлы и предоставлять им доступ по сети. Поддерживается анонимный вход и авторизация по логину и паролю. Для пользователей можно задавать различные права доступа.

Собственный веб-сервер помогает организовать корпоративный сайт, разметить веб-сервер в Интернете, создать внутренний сервер только для пользователей компании или набор виртуальных серверов для клиентов.

  • Поддерживает неограниченное количество виртуальных доменов
  • PHP 5.2 с основными расширениями
  • другие функции

Встроенный файловый сервер

  • По протоколу FTP
  • По протоколу HTTP

Отправка факсов на e-mail

Туннели для телефонии - если организация использует несколько серверов с IP-телефонией, их можно связывать при помощи SIP- или IAX-туннелей. Имеется очередь звонков.

JABBER-СЕРВЕР

С его помощью можно организовать обмен мгновенными сообщениями, как внутри сети предприятия, так и за ее пределами. Для пользователей ICQ реализована поддержка специального транспорта с возможностью контроля всей переписки.

Приложение Owncloud

  • Система для организации хранения, синхронизации и обмена данными, размещёнными на внешних серверах аналогично сервисам Google Docs и Dropbox .
  • Сетевая трансляция адресов (NAT). Позволяет, имея на внешнем интерфейсе всего один маршрутизируемый адрес, расположить внутри локальной сети сколь угодно много компьютеров. Также NAT помогает защитить сеть, поскольку внутренние компьютеры сети не видны снаружи.
  • Сервер имен DNS. Позволяет использовать ИКС, как в качестве кэширующего DNS-сервера, так и в качестве сервера, отвечающего за какой-либо домен. Можно создавать зоны, добавлять в них записи о компьютерах и серверах, редактировать информацию.
  • Сервер DHCP позволяет добавить в сеть новые компьютеры. DHCP-cервер автоматически выдаст компьютеру всю информацию, необходимую для работы в сети (IP-адрес, маска, маршрутизатор, DNS-сервер).
  • Контроль состояния Интернет подключения - сбор статистики по доступности сервиса, предоставляемого провайдером. Реализуется посредством периодических отправок ICMP ECHO REQUEST пакетов для нескольких адресов, критичных для пользователей корпоративной сети. Создает графические и текстовые отчеты, которые могут быть использованы для предъявления провайдеру претензий по качеству сервиса.
  • Оповещение администратора о внештатных ситуациях. При возникновении ошибок в операционной системе, компонентах Интернет Контроль Сервера, сбоев в Интернет подключении, подозрении на заражение вирусом внутреннего узла и т.п., Интернет Контроль Сервер рассылает сообщение об ошибке на указанный e-mail адрес и SMS сообщение на указанный номер сотового телефона. Для выполнения этих действий нужно работающее подключение к Интернету.
  • Контроль состояния самого Интернет Контроль Сервера. Позволяет пользователю получить информацию о том, что происходит с самим Интернет Контроль Сервером, и предотвратить появление возможных проблем. Эта подсистема генерирует графические отчеты по заполнению дисков, заполнению физической памяти, занятости файловых дескрипторов, заполнению виртуальной памяти, загрузке процессора, количеству сетевых соединений.
  • On-line обновления

Защита сети и персональных данных

Межсетевой экран ИКС, встроенный антивирус Dr.Web , Kaspersky Antivirus ,Kaspersky Antispam ,ClamAV, фильтрация входящего и исходящего трафика, модуль DLP - модуль защиты от утечек конфиденциальной информации, система отслеживания ICQ -сообщений, защита NAT, поддержка raid-1, DMZ, система обнаружения вторжении Snort.

VPN сервер

Функция NAT для перенаправления портов и VPN -сети, простая авторизация, динамическая адресация, автоматическое создание маршрутов в удаленную сеть для туннелей.

Контент-фильтр

IP-телефония

Позволяет организовать полноценный шлюз IP-телефонии вашей организации с возможностью фильтрации и перенаправления входящих и исходящих звонков. Поддержка протоколов SIP и IAX

Файловый и web-сервер

Файловый сервер с доступом по HTTP\FTP\ через сетевое окружение Windows (CIFS) и хранилище данных на основе надёжной системы ZFS с поддержкой RAID-0/1 и защитой от сбоев; полноценный web-сервер с поддержкой PHP и MySQL с поддержкой неограниченного количества web-сайтов.

Почта и jabber

Прокси-сервер, почтовый сервер, DNS, DHCP, Web, FTP, IPSEC-шифрование, связывание удаленных офисов в единую сеть.

2013

Интеграция с DLP-системой Zecurion Zgate

1 октября 2013 года компания Zecurion объявила об интеграции Zecurion Zgate и Интернет-шлюза ИКС.

Подробности

Компании Zecurion и «А-Реал Консалтинг» провели интеграцию системы защиты информации от утечек Zecurion Zgate и Интернет-шлюза «Интернет Контроль Сервер» (ИКС). Это существенно расширило возможности ИКС с функционалом Zecurion Zgate . Более 10 специализированных технологий анализируют содержимое пересылаемых сообщений, классифицируют информацию и выявляют её конфиденциальную составляющую.

«Теперь, с помощью Zecurion Zgate Интернет-шлюз ИКС может контролировать сообщения, посылаемые через почту, соцсети, сервисы для поиска работы, интернет-мессенджеры и прочие каналы передачи информации, - отметил Максим Никулин , директор по разработке Zecurion |. - Мы уверены, что новый функционал ИКС значительно повысит интерес к этому продукту со стороны потенциальных заказчиков».
«Мы рады сообщить о том, что в Интернет Контроль Сервере появилась возможность работы с
  • проводное,
  • беспроводное (Wi-Fi),
  • 3G-модем.
    • ИКС может подключаться к VPN -серверам, сам исполнять роль VPN-сервера.
    • В ИКС имеется ARP-таблица, DHCP, перенаправление портов, таблица маршрутизации, межсетевой экран, сетевые утилиты. Среди утилит: ping, trace, опрос DNS, WhoIs, сниффер, тест скорости канала, сканер сети.
    • В составе продукта действует гибкая система подготовки отчетов по использованию сети, отражающую использование сети сотрудниками, пользователями, трафик пользователей, посещение сайтов, время посещения, длительность. Всего предусмотрено 15 предустановленных отчетов, без учета возможностей созданий дополнительных при помощи конструктора.
    • В ИКС используется антивирусный и антиспам-модули от «Лаборатории Касперского» . Они обеспечивают высокий уровень обнаружения и нейтрализации вирусов, троянов, руткитов, вредоносного ПО, нежелательной почты.
    • ИКС обнаруживает различные виды сетевых атак извне посредством анализа трафика при помощи набора автоматически подгружаемых правил. Если обнаруживается деструктивная деятельность, шлюз прерывает передачу данных и делает соответствующую пометку в журнале.
    • Для защиты конфиденциальной информации в ИКС применяется DLP -фильтр (Data Leak Prevention), анализирующий веб- и почтовый трафик. Он фильтрует текст и файлы, как текстовые, так и другие, работает в качестве защиты от инсайдеров.

    Назначение и аудитория

    Интернет-шлюз ИКС ориентирован на руководителей информационных отделов, ИТ-специалистов, чья работа связана с обеспечением бесперебойного функционирования корпоративной сети, защитой персональных данных и информации.

    Похожие статьи