Geekly articles weekly

Passerelle Internet logicielle pour une petite organisation

Tout homme d'affaires s'efforce de réduire ses coûts. Il en va de même pour l'infrastructure informatique.

Lorsque vous ouvrez un nouveau bureau, les cheveux de quelqu'un commencent à bouger. Après tout, il faut organiser:
  • réseau local;
  • Connexion Internet. Mieux encore avec réservation auprès du deuxième prestataire;
  • VPN au bureau central (ou à toutes les succursales);
  • HotSpot pour les clients avec autorisation sms;
  • filtrer le trafic afin que les employés ne s'assoient pas sur les réseaux sociaux et ne s'affichent pas sur Skype;
  • protection du réseau contre les virus et les attaques. Fournir une protection contre les intrusions (IDS / IPS);
  • votre serveur de messagerie (si vous ne faites pas confiance à toutes sortes de pdd.yandex.ru) avec antivirus et antispam;
  • corbeille de fichiers;
  • Vous avez probablement besoin de téléphonie, c'est-à-dire organiser un PBX, connecter d'autres petits pains au fournisseur SIP ...


Mais l'enikeyschik ne pourra pas augmenter le réseau de l'entreprise avec de telles exigences ... Embaucher un administrateur système coûteux?
Un très grand nombre de roubles se profile.

Mais ces coûts peuvent être considérablement réduits si vous prêtez attention aux solutions UTM , qui sont maintenant énormes. Et puisque j'adhère à la stratégie «le plus simple est le mieux» pour résoudre mes problèmes, mes yeux sont tombés sur le serveur de contrôle Internet UTM (IKS).



Comment ce système contribuera à économiser le budget de l'entreprise et pourquoi un administrateur système coûteux n'est pas nécessaire pour sa maintenance - je vais vous le dire ci-dessous.

Mais pour l’avenir, je dirai - c’est un produit spécifique et qui a ses limites. Vous pouvez évaluer plus en détail les capacités de la passerelle en examinant la documentation sur le site officiel .
J'ai mis en place l'article «en russe» pour l'article, c'est-à-dire sans chercher dans le mana pour comprendre à quel point tout est intuitivement clair.

Installation initiale

IKS peut être installé à la fois sur du matériel réel et dans l'hyperviseur. Vous pouvez utiliser une sorte de PC sans ventilateur.
Par exemple ceci.


Le système est basé sur FreeBSD 11.3 et devrait décoller sans problème sur la plupart des matériels.

L'installation se fait sur un disque vierge.
Plus précisément, s'il y avait quelque chose, vous pouvez dire adieu à cela en toute sécurité.
Malheureusement, le programme d'installation ne prend en charge que l'anglais. Mais après l'installation, l'interface principale peut être en russe.




À propos de la tolérance aux fautes, nous n'avons pas oublié non plus.
S'il y a plusieurs disques dans le système, ils peuvent être combinés en un raid en utilisant ZFS.


Nous sélectionnons l'interface réseau et attribuons ip à partir du réseau sélectionné.


Indiquez le vrai nom si vous envisagez de créer, par exemple, un serveur de messagerie. S'il n'y a pas un tel besoin maintenant, vous pouvez écrire à partir du bulldozer. Plus loin dans l'interface, il sera possible de corriger.



C’est tout! Vous pouvez accéder à l'interface Web via ip, qui a été spécifié dans les paramètres, et le port 81. DHCP n'est pas encore activé à ce stade, vous devrez donc attribuer manuellement ip à partir du même réseau sur votre PC.



Nous nous connectons à Internet et connectons les bureaux.


La première fois que vous démarrez l'assistant, ce qui vous oblige à définir un mot de passe fort.
Le maître





Ensuite, nous montons dans les paramètres réseau

et configurer la connexion à notre fournisseur et le rôle de toutes les interfaces réseau.



Vous pouvez configurer plusieurs fournisseurs et organiser l'équilibrage.

Soit dit en passant, si vous n'êtes pas à l'aise avec la langue anglaise de l'interface, elle peut facilement être modifiée ici.


Si vous souhaitez connecter un bureau, par exemple, au siège social.
Créez ensuite une nouvelle connexion


et configurer les itinéraires vers les ressources sur le réseau distant.


Vous ne pouvez oublier que le routage dynamique - ce n'est pas ici.
Peut-être que je trouve à redire, mais à mon humble avis, c'est un gros inconvénient ...

Accès Internet pour les employés



Le plus souvent, la tâche principale de la passerelle est de contrôler l'accès des employés à Internet.
Vous pouvez identifier les employés par ip / mac, ou par login / mot de passe via un agent ou un portail captif.


De plus, si votre organisation utilise Active Directory, IKS peut y être intégré.


Les paramètres de filtrage (là où l'employé peut et ne peut pas) sont très étendus.


Un grand nombre de modèles de règles prêts à l'emploi:
Vous pouvez autoriser youtube, mais interdire d'y mettre des vidéos.





Mais vous ne pouvez pas le limiter, et l'ICS dira toujours où qui est allé et où avec leurs rapports détaillés:


Mais qu'en est-il du Wi-Fi invité?



Et le Wi-Fi invité peut être organisé conformément aux exigences des lois de la Fédération de Russie sur l'identification obligatoire des utilisateurs.
ICS prend en charge l'envoi de SMS via le protocole SMPP via n'importe quel fournisseur de SMS.



Téléphonie.



Oui oui Pas besoin d'installer un serveur séparé avec Asterisk. Il est déjà en X.
J'ai réussi à connecter SIP depuis un mégaphone (émotion, multiphone).



Comment obtenir SIP de Megafon aux tarifs cellulaires des particuliers peut être trouvé dans l'article "SIP de Megaphone au tarif domestique" .

La sécurité


Il existe de nombreux outils dans ICS qui vous permettront de configurer le niveau de sécurité selon vos besoins: des antivirus ClamAV gratuits et des systèmes de détection d'intrusion Suricata aux produits d' Eugene Kaspersky , en configurant uniquement via une interface Web claire.



Même le même fail2Ban irremplaçable est configuré en quelques clics


En outre, ICS peut surveiller le trafic à l'aide du protocole netflow à partir de l'équipement réseau, sans passer par lui-même.

Petits pains de communication



La communication des employés peut être organisée non seulement par téléphone et courrier


mais aussi par jabber. Certes, peu de gens se souviennent déjà d'un tel protocole.

Serveur Web:
Sur IKS, il existe même un serveur Web avec support PHP. Vous pouvez installer votre certificat HTTPS si vous en avez un ou spécifier que l'ICS reçoive gratuitement Let's Encrypt.


Cela suffit pour héberger un site de cartes de visite ou une page de destination publicitaire. Mais vous ne pouvez pas passer par un portail lourd avec des modules personnalisés. Et pour moi, c'est stupide. Pourtant, la passerelle doit rester la passerelle.

Paramètres de surveillance et de notification flexibles.
Des alarmes peuvent même être envoyées à Telegram. Et dans la réalité de la Fédération de Russie, il est même possible d'envoyer des messages via un proxy.


En conclusion



La passerelle Internet ICS contient presque tous les composants nécessaires au fonctionnement d'un petit bureau.
Dans le même temps, un administrateur système novice peut configurer tout cela.

Malgré le fait que le système n'est construit ni par FreeBSD, il n'y a pas d'accès ssh. Autrement dit, sans béquilles, vous ne pouvez pas installer de modules PHP. Nous devrons nous contenter de ce que nous avons ... Ou demander au support de le terminer.

Dans tous les cas, au début, téléchargez la version d'essai pendant 35 jours et vérifiez dans quelle mesure cette passerelle vous convient.

La licence n'a pas de date d'expiration, mais malgré cela, le coût est assez abordable .

Au banc d'essai lors d'essais synthétiques, le système s'est avéré adéquat.

Si le client approuve et qu'il sera intéressant pour vous de savoir comment ce système se comportera dans une «bataille», alors après 3 à 6 mois, j'écrirai une critique avec tous les problèmes et difficultés qui se sont posés. Si possible, vérifiez la qualité du support technique.

Dans les commentaires, j'attends des questions de votre part, qui devront se concentrer en détail sur l'utilisation au combat.

Source: https://habr.com/ru/post/fr477530/

More articles:


All Articles