Geekly articles weekly

Software Internet Gateway para una pequeña organización

Cualquier hombre de negocios se esfuerza por reducir los costos. Lo mismo ocurre con la infraestructura de TI.

Cuando abres una nueva oficina, el cabello de alguien comienza a moverse. Después de todo, es necesario organizar:
  • red de área local;
  • Conexión a internet. Mejor aún con reserva a través del segundo proveedor;
  • VPN a la oficina central (o a todas las sucursales);
  • HotSpot para clientes con autorización de sms;
  • filtrar el tráfico para que los empleados no se sienten en las redes sociales y no aparezcan en Skype;
  • Protección de red contra virus y ataques. Proporcionar protección contra intrusiones (IDS / IPS);
  • su servidor de correo (si no confía en todo tipo de pdd.yandex.ru) con antivirus y antispam;
  • basura de archivo;
  • Probablemente necesites telefonía, es decir organice una PBX, conecte otros bollos al proveedor SIP ...


Pero el enikeyschik no podrá elevar la red empresarial con tales requisitos ... ¿Contratar a un costoso administrador del sistema?
Se avecina un gran número de rublos.

Pero estos costos pueden reducirse significativamente si presta atención a las soluciones UTM , que ahora son una gran cantidad. Y dado que me adhiero a la estrategia "cuanto más simple, mejor" para resolver mis problemas, mis ojos se posaron en el Servidor de control de Internet UTM (IKS).



Cómo este sistema ayudará a ahorrar el presupuesto de la compañía y por qué no se necesita un costoso administrador del sistema para su mantenimiento. Le diré a continuación.

Pero mirando hacia el futuro, diré: este es un producto específico y tiene sus limitaciones. Puede evaluar las capacidades de la puerta de enlace con más detalle examinando la documentación en el sitio web oficial .
Configuré el artículo "en ruso" para el artículo, es decir, sin buscar en el maná para comprender cuánto está intuitivamente claro.

Instalación inicial

IKS puede instalarse tanto en hardware real como en el hipervisor. Puedes usar algún tipo de PC sin ventilador.
Por ejemplo esto.


El sistema está basado en FreeBSD 11.3 y debería despegar sin problemas en la mayoría del hardware.

La instalación se realiza en un disco en blanco.
Más precisamente, si había algo allí, entonces puedes decir adiós con seguridad.
Desafortunadamente, el instalador solo admite inglés. Pero después de la instalación, la interfaz principal puede estar en ruso.




Sobre la tolerancia a fallas, también, no lo he olvidado.
Si hay varios discos en el sistema, entonces se pueden combinar en una incursión usando ZFS.


Seleccionamos la interfaz de red y asignamos ip desde la red seleccionada.


Indique el nombre real si planea generar, por ejemplo, un servidor de correo. Si no hay tal necesidad ahora, puede escribir desde la excavadora. Además en la interfaz será posible corregir.



Eso es todo! Puede acceder a la interfaz web a través de ip, que se especificó en la configuración, y el puerto 81. DHCP aún no está habilitado en esta etapa, por lo que deberá asignar manualmente ip desde la misma red en su PC.



Nos conectamos a Internet y conectamos oficinas.


La primera vez que inicias el asistente, lo que te obliga a establecer una contraseña segura.
El maestro





Luego subimos a la configuración de red

y configurar la conexión a nuestro proveedor y el rol de todas las interfaces de red.



Puede configurar varios proveedores y organizar el equilibrio.

Por cierto, si no se siente cómodo con el idioma inglés de la interfaz, puede cambiarlo fácilmente aquí.


Si desea conectar una oficina, por ejemplo, a la oficina central.
Luego crea una nueva conexión


y configurar rutas a recursos en la red remota.


Solo puede olvidarse del enrutamiento dinámico: no está aquí.
Tal vez me parece culpable, pero en mi humilde opinión, este es un gran inconveniente ...

Acceso a internet para empleados



Muy a menudo, la tarea principal de la puerta de enlace es controlar el acceso de los empleados a Internet.
Puede identificar a los empleados por ip / mac, o por usuario / contraseña a través de un agente o portal cautivo.


Además, si su organización usa Active Directory, IKS puede integrarse con él.


La configuración de filtrado (donde el empleado puede y no puede) es muy extensa.


Una gran cantidad de plantillas de reglas listas para usar:
Puedes permitir YouTube, pero prohibir subir videos allí.





Pero no puede limitarlo, y el ICS aún le dirá a dónde fue y dónde con sus extensos informes:


Pero, ¿qué pasa con el wifi para invitados?



Y el Wi-Fi para invitados se puede organizar de acuerdo con los requisitos de las leyes de la Federación Rusa sobre la identificación obligatoria de los usuarios.
ICS admite el envío de SMS a través del protocolo SMPP a través de cualquier proveedor de SMS.



Telefonía



Si si! No es necesario instalar un servidor separado con Asterisk. Él ya está en X.
Conecté con éxito SIP desde megáfono (emoción, multiphone).



Cómo obtener SIP de Megafon a las tarifas de telefonía celular de las personas se puede encontrar en el artículo "SIP de Megaphone a la tarifa de la casa" .

Seguridad


Hay muchas herramientas en ICS que le permitirán configurar el nivel de seguridad de acuerdo con sus requisitos: desde los antivirus gratuitos ClamAV y los sistemas de detección de intrusos Suricata hasta los productos de Eugene Kaspersky , configurando solo a través de una interfaz web clara.



Incluso el mismo fail2Ban irremplazable se configura en unos pocos clics


Además, ICS puede monitorear el tráfico utilizando el protocolo netflow del equipo de red, sin pasar el tráfico a través de sí mismo.

Bollos de comunicación



La comunicación de los empleados se puede organizar no solo por teléfono y correo


pero también a través de jabber. Es cierto que pocas personas ya recuerdan tal protocolo.

Servidor web:
En IKS hay incluso un servidor web con soporte PHP. Puede instalar su certificado HTTPS si tiene uno, o especificar que el ICS reciba un Let's Encrypt gratis.


Esto es suficiente para alojar un sitio de tarjetas de visita o una página de destino publicitaria. Pero no puede atravesar un portal pesado con módulos personalizados. Y para mí, esto es estúpido. Aún así, la puerta de enlace debe seguir siendo la puerta de enlace.

Configuración flexible de monitoreo y notificación.
Las alarmas incluso se pueden enviar a Telegram. Y en las realidades de la Federación Rusa, incluso existe la posibilidad de enviar mensajes a través de un proxy.


En conclusión



La puerta de enlace de Internet de ICS contiene casi todos los componentes necesarios para el funcionamiento de una oficina pequeña.
Al mismo tiempo, un administrador de sistema novato puede configurar todo esto.

A pesar de que el sistema no está construido ni por FreeBSD, no hay acceso ssh a él. Es decir, sin muletas, no puede instalar módulos PHP. Tendremos que contentarnos con lo que tenemos ... O pedir ayuda para terminarlo.

En cualquier caso, al principio, descargue la versión de prueba durante 35 días y compruebe cuánto le conviene este portal.

La licencia no tiene fecha de vencimiento, pero a pesar de esto, el costo es bastante asequible .

En el banco de pruebas en pruebas sintéticas, el sistema demostró ser adecuado.

Si el cliente lo aprueba y le resultará interesante cómo se comportará este sistema en una "batalla", después de 3-6 meses escribiré una revisión con todos los problemas y dificultades que han surgido. Si es posible, verifique la calidad del soporte técnico.

En los comentarios espero sus preguntas, que deberán centrarse en detalle en el uso en combate.

Source: https://habr.com/ru/post/477530/

More articles:


All Articles