Geekly articles weekly

Software Internet Gateway für eine kleine Organisation

Jeder Geschäftsmann ist bestrebt, die Kosten zu senken. Gleiches gilt für die IT-Infrastruktur.

Wenn Sie ein neues Büro eröffnen, beginnen sich die Haare von jemandem zu bewegen. Immerhin ist es notwendig zu organisieren:
  • lokales Netzwerk;
  • Internetverbindung. Besser noch mit Vorbehalt durch den zweiten Anbieter;
  • VPN zur Zentrale (oder zu allen Filialen);
  • HotSpot für Kunden mit SMS-Berechtigung;
  • Filtern des Datenverkehrs, damit Mitarbeiter nicht in sozialen Netzwerken sitzen und nicht in Skype angezeigt werden;
  • Netzwerkschutz vor Viren und Angriffen. Intrusion Protection (IDS / IPS) bereitstellen;
  • Ihr Mail-Server (wenn Sie nicht allen Arten von pdd.yandex.ru vertrauen) mit Antivirus und Antispam;
  • Datei-Papierkorb;
  • Möglicherweise benötigen Sie Telefonie, d. H. eine PBX organisieren, andere Buns mit dem SIP-Provider verbinden ...


Aber die Enikeyschik wird nicht in der Lage sein, das Unternehmensnetzwerk mit solchen Anforderungen zu erhöhen ... Mieten Sie einen teuren Systemadministrator?
Eine sehr große Rubelzahl zeichnet sich ab.

Diese Kosten können jedoch erheblich gesenkt werden, wenn Sie auf UTM-Lösungen achten, die mittlerweile eine enorme Menge darstellen. Und da ich bei der Lösung meiner Probleme an der Strategie „Je einfacher desto besser“ festhalte, fiel mir der UTM Internet Control Server (IKS) auf.



Wie dieses System das Budget des Unternehmens einspart und warum kein teurer Systemadministrator für die Wartung benötigt wird, erfahren Sie weiter unten.

Aber mit Blick auf die Zukunft sage ich: Dies ist ein spezifisches Produkt und hat seine Grenzen. Sie können die Funktionen des Gateways detaillierter bewerten, indem Sie die Dokumentation auf der offiziellen Website lesen .
Ich habe den Artikel "in russischer Sprache" für den Artikel eingerichtet, dh ohne in Mana zu schauen, um zu verstehen, wie viel alles intuitiv klar ist.

Erstinstallation

IKS kann sowohl auf realer Hardware als auch im Hypervisor installiert werden. Sie können eine Art lüfterlosen PC verwenden.
Zum Beispiel das.


Das System basiert auf FreeBSD 11.3 und sollte auf der meisten Hardware problemlos starten.

Die Installation erfolgt auf einer leeren Festplatte.
Genauer gesagt, wenn da etwas war, dann können Sie sich getrost davon verabschieden.
Leider unterstützt der Installer nur Englisch. Nach der Installation ist die Hauptschnittstelle möglicherweise in Russisch.




Über Fehlertoleranz haben auch nicht vergessen.
Befinden sich mehrere Festplatten im System, können diese mit ZFS zu einem Raid zusammengefasst werden.


Wir wählen die Netzwerkschnittstelle aus und weisen die IP aus dem ausgewählten Netzwerk zu.


Geben Sie den tatsächlichen Namen an, wenn Sie beispielsweise einen Mailserver einrichten möchten. Wenn es jetzt keinen solchen Bedarf gibt, können Sie vom Bulldozer aus schreiben. Weiter in der Schnittstelle wird es möglich sein, zu korrigieren.



Das ist alles! Sie können über die in den Einstellungen festgelegte IP-Adresse und über Port 81 auf die Weboberfläche zugreifen. Da DHCP zu diesem Zeitpunkt noch nicht aktiviert ist, müssen Sie die IP-Adresse von demselben Netzwerk auf Ihrem PC manuell zuweisen.



Wir stellen eine Verbindung zum Internet her und verbinden Büros.


Wenn Sie den Assistenten zum ersten Mal starten, werden Sie gezwungen, ein sicheres Kennwort festzulegen.
Der meister





Als nächstes klettern wir in die Netzwerkeinstellungen

und konfigurieren Sie die Verbindung zu unserem Provider und die Rolle aller Netzwerkschnittstellen.



Sie können mehrere Anbieter konfigurieren und den Ausgleich arrangieren.

Übrigens, wenn Sie mit der englischen Sprache der Benutzeroberfläche nicht vertraut sind, können Sie diese hier leicht ändern.


Wenn Sie beispielsweise ein Büro mit der Zentrale verbinden möchten.
Erstellen Sie dann eine neue Verbindung


und konfigurieren Sie Routen zu Ressourcen im Remote-Netzwerk.


Sie können nur über dynamisches Routing vergessen - es ist nicht hier.
Vielleicht finde ich Fehler, aber meiner Meinung nach ist dies ein großer Nachteil ...

Internetzugang für Mitarbeiter



In den meisten Fällen besteht die Hauptaufgabe des Gateways darin, den Zugang der Mitarbeiter zum Internet zu kontrollieren.
Sie können Mitarbeiter über IP / Mac oder über Login / Passwort über einen Agenten oder ein Captive-Portal identifizieren.


Wenn Ihre Organisation Active Directory verwendet, kann auch IKS in sie integriert werden.


Die Filtereinstellungen (wo der Mitarbeiter kann und nicht) sind sehr umfangreich.


Eine Vielzahl von vorgefertigten Regelvorlagen:
Sie können YouTube zulassen, aber das Hochladen von Videos dort nicht zulassen.





Aber Sie können es nicht einschränken, und das IKS wird immer noch mit ihren umfangreichen Berichten sagen, wohin und wer gegangen ist:


Aber was ist mit WLAN für Gäste?



Und das WLAN für Gäste kann in Übereinstimmung mit den Gesetzen der Russischen Föderation zur obligatorischen Identifizierung von Benutzern organisiert werden.
ICS unterstützt das Senden von SMS über das SMPP-Protokoll über einen beliebigen SMS-Anbieter.



Telefonie.



Ja Ja! Es muss kein separater Server mit Asterisk installiert werden. Er ist bereits in X.
Ich habe erfolgreich SIP von Megaphone (Emotion, Multiphone) verbunden.



Wie Sie SIP von Megafon zu den Mobilfunktarifen von Privatpersonen erhalten, erfahren Sie im Artikel „SIP von Megafon zum Heimtarif“ .

Sicherheit


In ICS gibt es viele Tools, mit denen Sie die Sicherheitsstufe gemäß Ihren Anforderungen konfigurieren können: von kostenlosen ClamAV-Antivirenprogrammen und Suricata-Intrusion-Detection-Systemen bis zu Produkten von Eugene Kaspersky , die nur über eine übersichtliche Weboberfläche konfiguriert werden können.



Selbst das gleiche unersetzbare fail2Ban wird mit wenigen Klicks konfiguriert


Außerdem kann ICS den Datenverkehr mithilfe des Netflow-Protokolls von Netzwerkgeräten überwachen, ohne den Datenverkehr selbst durchzuleiten.

Kommunikations-Brötchen



Die Kommunikation der Mitarbeiter kann nicht nur per Telefon und Post organisiert werden


sondern auch durch Geschwätz. Es stimmt, nur wenige Menschen erinnern sich bereits an ein solches Protokoll.

Webserver:
Auf IKS gibt es sogar einen Webserver mit PHP-Unterstützung. Sie können Ihr HTTPS-Zertifikat installieren, wenn Sie eines haben, oder festlegen, dass das ICS ein kostenloses Let's Encrypt-Zertifikat erhält.


Dies reicht aus, um eine Visitenkarten-Site oder eine Werbe-Landingpage zu hosten. Mit benutzerdefinierten Modulen kommen Sie jedoch nicht durch ein schweres Portal. Und für mich ist das dumm. Trotzdem sollte das Gateway das Gateway bleiben.

Flexible Überwachungs- und Benachrichtigungseinstellungen.
Alarme können sogar an das Telegramm gesendet werden. Und in der Realität der Russischen Föderation besteht sogar die Möglichkeit, Nachrichten über einen Proxy zu versenden.


Abschließend



Das ICS-Internet-Gateway enthält nahezu alle Komponenten, die für den Betrieb eines kleinen Büros erforderlich sind.
Gleichzeitig kann ein unerfahrener Systemadministrator all dies konfigurieren.

Obwohl das System weder von FreeBSD erstellt wird, gibt es keinen SSH-Zugriff darauf. Ohne Krücken können Sie keine PHP-Module installieren. Wir müssen uns mit dem zufrieden geben, was wir haben ... Oder um Unterstützung bitten, um es zu beenden.

Laden Sie auf jeden Fall zu Beginn die Testversion für 35 Tage herunter und prüfen Sie, wie gut dieses Gateway zu Ihnen passt.

Die Lizenz hat kein Ablaufdatum, aber trotzdem sind die Kosten durchaus erschwinglich .

Auf dem Prüfstand hat sich in synthetischen Tests das System als ausreichend erwiesen.

Wenn der Kunde zustimmt und es für Sie interessant ist, wie sich dieses System in einem „Kampf“ verhält, schreibe ich nach 3-6 Monaten eine Rezension mit allen aufgetretenen Problemen und Schwierigkeiten. Wenn möglich, überprüfen Sie die Qualität des technischen Supports.

In den Kommentaren warte ich auf Fragen von Ihnen, auf die im Kampfeinsatz näher eingegangen werden muss.

Source: https://habr.com/ru/post/de477530/

More articles:


All Articles