Nyílt forráskódú megoldás a hálózati átjáró számára
Nyílt forráskódú megoldás: A hálózati átjáró kibontása
A vállalatok és szakemberek erőfeszítései ellenére az internet soha nem lett biztonságos terület. Spam, adathalászat, vírusok, számítógépes támadások és így tovább - ezek olyan tényezők, amelyeket szabadon kell tartani. Az első az útjukon speciális megoldások.
Az Untangle platform [1], amelyet ugyanazon vállalat képvisel (a korábbi Metavize), több mint 30 nyílt forrású megoldáson alapul, köztük Knoppix, Snort, ClamAV, SpamAssasin, Squid és mások.
Az Untangle projekt célja az olyan kereskedelmi megoldások cseréje, mint például az ISA Server, a SonicWall vagy a WatchGuard kis- és középvállalkozásokban.
Az új projekt legfontosabb ötlete az, hogy az adminisztrátor számára könnyen konfigurálható és kezelhető eszközt telepítsen egy számítógépre, ami lehetővé teszi a hálózat biztonságának megerősítését.
Ellentétben sok hasonló megoldással, amelyekben minden biztonsági modul jelen van, eredetileg nem szerepel az Untangle. A rendszergazda önállóan választja ki a szükséges biztonsági modulokat, amelyeket a fő rendszer (Untangle Gateway Platform) telepítése után telepítenek.
A fenti komponensek közül, amely routing, spam szűrés, anti-vírus és spyware scan, tűzfal, anti-phishing, behatolásjelző, tartalomszűrés, monitoring protokollokat, OpenVPN szerver és mások.
Modul Behatolásmegelőzési saját design megvédi a hálózatot a DoS támadások és más alacsony szintű támadásokat. Külső számítógép függően tevékenységét van rendelve az állapot, a házigazdák van egy rossz híre (támadás, SYN elárasztás vagy port szkennelés) korlátozott a közlekedési vagy teljesen blokkolta a hozzáférést a védett erőforrások (található a DMZ).
A rendszer lehetővé teszi a rendszergazda különféle jelentések a hálózati aktivitás, protokollok és a felhasználók, események száma, a spam és a vírusok észleléséhez, ami menthető formátumok PDF, HTML, XLS, CSV és XML.
A NAT támogatott, és egy harmadik hálózati interfésszel egy DMZ rendezhető.
A fejlesztők azzal érvelnek, hogy ha szükséges, bármely más összetevő bármikor hozzáadható.
A termék folyamatos fejlesztés alatt áll, tervezi a VoIP támogatás növelését, a VMware és más virtuális gépek támogatását.
Minden modul már be van építve már gyakorlatilag hangolt és készen áll dolgozni, és biztosítja bizonyos szintű védelmet. Bár természetesen az adminisztrátornak hozzá kell igazítania paramétereit bizonyos feltételekhez.
Alapértelmezés szerint a Virus Blocker modul csak bejövő web-, ftp- és mailforgalmat vizsgál, de szükség esetén aktiválhatja és ellenőrizheti a kimenő adatokat. Ha két antivírus használatát ellenőrizni szeretné, telepítse a Dual Virus Blocker programot. A protokollvezérlő modul több mint 90 protokollt ismersz.
Az összetevők konfigurálása nem helyi, de érthető grafikus felületen keresztül. A fejlesztők elutasították a népszerű internetes technológiák használatát a Java javára. Ennek eredményeképpen a kezelési konzol minden változása, beleértve a munka statisztikáit, valós időben elérhető.
A felhasználó hitelesítése érdekében használhatja a beépített LDAP-kiszolgálót vagy integrációs eszközöket az Active Directory segítségével.
A futó rendszer automatikusan frissül az ütemezésben vagy a regisztráció után a Felügyeleti konzolban, bár ez a viselkedés megváltoztatható. Például tiltsa le és frissítse a kiválasztott összetevőket manuálisan. Mentheti a rendszer konfigurációjának biztonsági másolatait merevlemezre vagy USB-eszközre.
Az Untangle elosztja két licenccel. A rendszer legfontosabb része a GNU GPL alatt van licencelve, de további kereskedelmi forgalomban kapható modulok vannak.
Ez utóbbi lehetőséget támogatja a valós idejű politikai irányítás hozzáféréssel rendelkező felhasználók és csoportok, az integráció és az Active Directory, a beállítások mentése egy dedikált szerver a gyorsabb felépülés (24 órás csere), valamint a Remote Access portál, amely biztonságos hozzáférést a belső hálózati erőforrásokhoz rendszeres webböngészőn keresztül VPN kliens telepítése nélkül.
A fejlesztő cég második bevételi forrása az Untangle XD Server és az XD + Server szerverek értékesítése előre telepített és konfigurált rendszerrel. Az ingyenes verzióhoz csak on-line felhasználói támogatás áll rendelkezésre.
Sajnos számos próbaterhelés után észrevehető, hogy az Untangle nagyon szerény a hardveren. Szóval, nem tudtam futtatni Untangle-et bármelyik számítógépen SATA merevlemezzel. Ráadásul a projekt fórumán a "Hardveres vita" [2] szakaszban megítélésem szerint egy ilyen probléma nemcsak tőlem származik.
Néhány esetben a rendszermag elindítását követően megjelenik egy fekete képernyő vagy egy képernyővédő, de a folyamat leesett, és ez nem ment tovább. És olyan volt, mint a régi, és az új számítógépeken. Ezért nem tudom pontosan megmondani, hol fog működni az Untangle, és hol nem, nem tudom. Egy új számítógép beszerzése az előzetes tesztelés nélküli Untangle telepítéséhez nagyon kockázatos.
A 410 MB-os ISO-képméretet a SourceForge-lal való hivatkozás nélkül töltik le előzetes regisztráció nélkül, és néhány olyan kellemetlenséggel, amely egyes projektekben bővelkedik.
A rendszermag betöltése után megjelenik az üdvözlő ablak, majd az Untangle telepítéséhez négy további lépés szükséges.
Elõször elfogadjuk a licencszerzõdést, majd válasszuk ki a lemezt. Egyébként, ha két lemez csatlakoztatva van a rendszerben, a telepítő leállhat. Miután elolvasta kétszer azt a figyelmeztetést, hogy a kiválasztott lemez megsemmisít minden adatot, menjen a berendezés hitelesítési fázisába.
1. ábra Számítógépelemek levelezése a Untangle követelményeinek megfelelően
Elolvastuk a végső figyelmeztetést, és kattintsunk a "Befejezés" gombra, miután a fájlokat átmásoltuk a merevlemezre, majd újraindításra van szükség.
Ez és az egész telepítés.
A Grub boot-betöltőként van használva, ami nagyon kényelmes, mivel további paramétereket kellett beállítanom a kernelre az APIC letiltásához.
Az újraindítás után egy másik varázsló üdvözli Önt - a Szerverbeállító varázsló, amely segít a rendszer inicializálásában. Itt 9 lépést kell tennie.
Ezután adja meg az adminisztrátori fiók jelszavát, és adja meg az időzónát.
A következő lépés "Interfész teszt", a rendszer megpróbálja megtalálni a hálózati eszközöket, és kiadja a kapott táblázatot (lásd a 2. ábrát).
2. ábra: Hálózati interfészek meghatározása a "Szerverbeállító varázsló"
De csak azért, hogy segítsen meghatározni, és a varázsló következő lépése a Connectivity Test. A dokumentációban ez a folyamat körülbelül úgy íródott le, hogy - ha nincs kapcsolat, megnyomjuk a gombot, akkor visszatérünk az előző beállításokhoz, vagy csatlakoztatjuk a kábelt a másik csatlakozóba.
Ezután a varázsló javasolja az Untangle kiszolgáló használatának konfigurálását.
Ha a kiszolgáló egy másik útválasztóhoz vagy tűzfalhoz csatlakozik, válassza a "Transparent Bridge" pontot.
Ez mind a beállítás.
Munka az Untangle-ban
Alapértelmezés szerint, ha telepítve van, csak a kiszolgálót kezelheti a helyi konzolról. Az alapbeállításokat a kliens segítségével végzi el, amelyet a "Launch Client" megnyomásával hívnak. Bizonyos esetekben használhatja a terminált, de célja meglehetősen járulékos.
Ahhoz, hogy regisztráljon a menedzsment ügyfélprogrammal, a kiszolgálóbeállító varázslóban megadott adminisztrátori fiókot és jelszót használjuk.
Telepítés után a beállítások csak a "Konfiguráció" fülön állnak rendelkezésre. Ezen fül kiválasztásával hozzáférést kaphat ugyanazokhoz a paraméterekhez, amelyeket a kezdeti konfigurációban megadott.
Ugyanazon a lapon egy különálló szakaszban figyelemmel kísérheti az SNMP használatát, vagy információt küldhet a Syslog-kiszolgálónak.
A "Biztonsági mentés / visszaállítás" fülre mentve elmentheti vagy visszaállíthatja a beállításokat egy fájlra, lemezpartícióra vagy USB-re.
Bármely elem kilépése után a konfiguráció automatikusan frissül.
A "Frissítés" elem kiválasztja a frissítendő összetevőket, és beállítja a frissítési gyakoriságot.
3. ábra: A kiszolgálókezelő ügyfél kibontása
Amikor létrejött az internetkapcsolat, a "Saját alkalmazások" lapon megtalálja az összes rendelkezésre álló összetevőt a telepítéshez. Csak válassza ki, amire szüksége van, és kattintson az egérre. Egy idő után az összetevő megjelenik az ablak jobb oldalán.
A "Megjelenítés beállítása" gombra kattintva megadhatja a beállításait.
Az egyes komponensek gombjával kissé jobbra vannak grafikonok, amelyeken a munka valós idejű eredményei láthatók (blokkolt üzenetek száma, talált vírusok stb.).
A modul paramétereinek beállítása intuitív, és előzetes tervvel könnyen megvalósítható.
A berendezések problémáinak és a lokalizáció hiányának ellenére az Untangle platformmal való ismerkedés benyomása csak pozitív. Mi előttünk egy minőségi, könnyen konfigurálható termék, amelyen a hálózat védelmének minden feladatát kijelölheti.