Geekly articles weekly

Gateway de Internet de software para uma pequena organização

Qualquer empresário se esforça para reduzir custos. O mesmo vale para a infraestrutura de TI.

Quando você abre um novo escritório, o cabelo de alguém começa a se mover. Afinal, é necessário organizar:
  • rede de área local;
  • Conexão com a Internet. Melhor ainda com reservas através do segundo provedor;
  • VPN para o escritório central (ou para todas as filiais);
  • HotSpot para clientes com autorização sms;
  • filtrar o tráfego para que os funcionários não fiquem nas redes sociais e não apareçam no Skype;
  • proteção de rede contra vírus e ataques. Fornecer proteção contra intrusões (IDS / IPS);
  • seu servidor de correio (se você não confia em todos os tipos de pdd.yandex.ru) com antivírus e antispam;
  • lixeira de arquivo;
  • Provavelmente você precisa de telefonia, ou seja, organizar um PBX, conectar outros pãezinhos ao provedor SIP ...


Mas o enikeyschik não poderá elevar a rede corporativa com esses requisitos ... Contratar um administrador de sistema caro?
Um número muito grande de rublos está aparecendo.

Mas esses custos podem ser significativamente reduzidos se você prestar atenção às soluções UTM , que agora são uma quantia enorme. E como adotei a estratégia “quanto mais simples, melhor” para resolver meus problemas, meus olhos se voltaram para o UTM Internet Control Server (IKS).



Como esse sistema ajudará a economizar o orçamento da empresa e por que um administrador de sistema caro não é necessário para sua manutenção - mostrarei a seguir.

Mas, olhando para o futuro, direi: este é um produto específico e tem suas limitações. Você pode avaliar os recursos do gateway em mais detalhes, examinando a documentação no site oficial .
Configurei o artigo “em russo” para o artigo, ou seja, sem examinar a mana, para entender o quanto tudo é intuitivamente claro.

Instalação inicial

O IKS pode ser instalado no hardware real e no hipervisor. Você pode usar algum tipo de PC sem ventilador.
Por exemplo isso.


O sistema é baseado no FreeBSD 11.3 e deve decolar sem problemas na maioria dos hardwares.

A instalação é feita em um disco em branco.
Mais precisamente, se havia algo lá, então você pode dizer adeus com segurança a isso.
Infelizmente, o instalador suporta apenas inglês. Mas após a instalação, a interface principal pode estar em russo.




Sobre a tolerância a falhas também não se esqueceu.
Se houver vários discos no sistema, eles poderão ser combinados em um ataque usando o ZFS.


Selecionamos a interface de rede e atribuímos o IP da rede selecionada.


Indique o nome real se você planeja gerar, por exemplo, um servidor de correio. Se não houver essa necessidade agora, você pode escrever no trator. Além disso na interface, será possível corrigir.



Isso é tudo! Você pode acessar a interface da web via ip, especificado nas configurações, e na porta 81. O DHCP ainda não está ativado neste momento; portanto, você deverá atribuir manualmente o ip da mesma rede no seu PC.



Nós nos conectamos à Internet e conectamos escritórios.


A primeira vez que você inicia o assistente, obriga a definir uma senha forte.
O mestre





Em seguida, subimos para as configurações de rede

e configurar a conexão com nosso provedor e o papel de todas as interfaces de rede.



Você pode configurar vários provedores e organizar o balanceamento.

A propósito, se você não se sentir confortável com o idioma inglês da interface, ele poderá ser facilmente alterado aqui.


Se você deseja conectar um escritório, por exemplo, à sede.
Em seguida, crie uma nova conexão


e configurar rotas para recursos na rede remota.


Você pode esquecer apenas o roteamento dinâmico - ele não está aqui.
Talvez eu encontre falhas, mas IMHO isso é uma grande desvantagem ...

Acesso à Internet para funcionários



Na maioria das vezes, a principal tarefa do gateway é controlar o acesso à Internet pelos funcionários.
Você pode identificar funcionários por ip / mac ou por login / senha por meio de um agente ou portal cativo.


Além disso, se sua organização usa o Active Directory, o IKS pode ser integrado a ele.


As configurações de filtragem (onde o funcionário pode e não pode) são muito extensas.


Um grande número de modelos de regras prontos:
Você pode permitir o youtube, mas proíbe o upload de vídeos lá.





Mas você não pode limitá-lo, e o ICS ainda dirá para onde foi e para onde, com seus extensos relatórios:


Mas e o Wi-Fi dos hóspedes?



E o convidado Wi-Fi pode ser organizado em conformidade com os requisitos das leis da Federação Russa sobre a identificação obrigatória de usuários.
O ICS suporta o envio de SMS via protocolo SMPP através de qualquer provedor de SMS.



Telefonia.



Sim sim Não é necessário instalar um servidor separado com o Asterisk. Ele já está em X.
Conectei com sucesso o SIP do Megaphone (emoção, multiphone).



Como obter o SIP da Megafon nas tarifas de celular de indivíduos pode ser encontrado no artigo "SIP do Megafone na tarifa de casa" .

Segurança


Existem muitas ferramentas no ICS que permitem configurar o nível de segurança de acordo com seus requisitos: desde antivírus ClamAV gratuitos e sistemas de detecção de intrusão Suricata até produtos de Eugene Kaspersky , configurando apenas através de uma interface clara da Web.



Até o mesmo fail2Ban insubstituível é configurado em apenas alguns cliques


Além disso, o ICS pode monitorar o tráfego usando o protocolo netflow de equipamentos de rede, sem passar o tráfego por si próprio.

Bolos de comunicação



A comunicação dos funcionários pode ser organizada não apenas por telefone e correio


mas também através do jabber. É verdade que poucas pessoas já se lembram desse protocolo.

Servidor Web:
No IKS, existe até um servidor web com suporte a PHP. Você pode instalar o seu certificado HTTPS, se tiver um, ou especificar que o ICS receba um Let's Encrypt gratuito.


Isso é suficiente para hospedar um site de cartão de visita ou uma página de destino de publicidade. Mas você não pode acessar um portal pesado com módulos personalizados. E para mim, isso é estúpido. Ainda assim, o gateway deve permanecer o gateway.

Configurações flexíveis de monitoramento e notificação.
Os alarmes podem até ser enviados para o Telegram. E nas realidades da Federação Russa existe até a possibilidade de enviar mensagens através de um proxy.


Em conclusão



O gateway da Internet ICS contém quase todos os componentes necessários para a operação de um pequeno escritório.
Ao mesmo tempo, um administrador de sistema iniciante pode configurar tudo isso.

Apesar do fato de o sistema não ter sido construído nem pelo FreeBSD, não há acesso ssh a ele. Ou seja, sem muletas, você não pode instalar módulos PHP. Teremos que nos contentar com o que temos ... Ou pedir apoio para concluir.

De qualquer forma, no início, faça o download da avaliação por 35 dias e verifique quanto esse gateway combina com você.

A licença não tem data de validade, mas, apesar disso, o custo é bastante acessível .

Na bancada de testes em testes sintéticos, o sistema mostrou-se adequado.

Se o cliente aprovar e será interessante para você como esse sistema se comportará em uma "batalha", depois de 3 a 6 meses, escreverei uma resenha com todos os problemas e dificuldades que surgirem. Se possível, verifique a qualidade do suporte técnico.

Nos comentários, estou aguardando suas perguntas, que precisarão ser focadas em detalhes no uso em combate.

Source: https://habr.com/ru/post/pt477530/

More articles:


All Articles