Речь пойдет о разработке нашей Российской компании ООО «А-Реал Консалтинг», а именно о системе контроля интернет доступа – Интернет Контроль Сервер (ИКС), с таким вот забавным названием «Eric the epic elehant».
ИКС – это универсальный интернет-шлюз с инструментами для защиты корпоративной сети, учета трафика, управления доступом, почта, прокси, файловый сервер, Web, jabber и даже организация IP телефонии.
Ядром в данной системе служит FreeBSD 8.4 с файловой системой ZFS.
Посмотрим какие функции используются
- Универсальный шлюз. Поддержка различных подключений: Internet, Wi-fi, 3G, PPTP, PPPoE, L2TP, работает с VLAN и DMZ, а так же, есть возможность организации VPNтунелей (cPSEC PSK шифрованием и OpenVPN).
- Контроль доступа. Авторизация пользователей по IP адресу, MAC, имени/паролю, AD и многие другие
- Защита сети. Межсетевой экран, встроенные антивирусы от Dr.Web, Kaspersky, ClamAV. Модуль DLP – для защиты от утечек конфиденциальной информации.
- И многое другое, кому станет инетерсно могут посмотреть на сайте компании.
Опыт внедрения
В 2010 году, работая в институте, появилась необходимость собирать статистику посещений сайтов студентами, разграничение прав доступа и еще много разных задач.
Хочу заметить, что у копании есть определенные скидки для образовательных учреждений, что сыграло ключевую роль в принятии решения о закупке. О самой системе судить сильно не могли, потому как стояла пробная версия и работал через нее только наш маленький IT отдел. Плюнув на риски (все равно старый сервачек на окнах с трафик инспектором мы уничтожать не собирались). Убедили ректора в необходимости закупки, и приступили к внедрению.
Сначала я думал, что мне обеспеченны пара дней и ночевка на работе, чтобы все подготовить и настроить, но как выяснилось система на столько гибкая и простая в установке и настройке, что трудностей вообще не заняла.
Установка, проходит, очень быстро, я успел только покурить отойти, а когда вернулся уже надо было жать на кнопку ОК.
Все, можем радоваться, система готова к первому запуску. После нажатия «ОК», начнут загружаться службы и модули, а после этого наш ИКС оповестит о готовности работать издав мелодию спикером из к/ф «Звездные войны»(кстати, при выключении звучит имперский марш из того же к/ф).
Все взаимодействие с сервером проходит через Веб интерфейс. Изначально Нам предлагают подключиться к интернету, используя мастер настройки. Для тех, кто впервые видит систему и ранее не смотрел видео с сайта разработчика, лучше всего воспользоваться мастером подключения. Он сразу настроит и провайдера, и локальную сеть.
Вот так выглядит рабочий интерфейс.
Как можно заметить на скрине, по мимо всех перечисленных мною в начале функций, естественно присутствуют такие как DHCP, DNS и прочие прелести нашей жизни.
Если коротко, то данная система позволила создать две локальные сети для студентов так, что администрация имела доступ на студенческие сервера, а вот студенты не могли попасть никуда кроме разрешенных. Так же, что примечательно, есть уже готовая база с фильтрами для прокси сервера.
Сейчас уже в новой компании в которой я работаю, при помощи ИКС был организован VPN туннель с региональными представителями, общее файловое хранилище, а так же теперь можно контролировать посещение сайтов сотрудниками удаленных офисов, с формированием статистики для руководителей отделов.
И так, какие можно вынести плюсы работы с ИКС?
- Сокращение затрат на ИТ. Все что нужно – это машинка с Core i5 (можно i7), >4Gb оперативки, и HDD 500 Gb, если файловый сервер у вас размещается на отдельной машине.
- Простота в управлении и настройке. Даже если Вы не владеете FreeBSD, проблем в настройке и управлении у Вас не будет.
- Сбор статистики посещений. Вы всегда можете увидеть какой пользователь сколько трафика съедает, и какие ресурсы посещает.
- Модуль DLP предназначенный для защиты от утечек конфиденциальной информации очень хорошо себя зарекомендовал. Когда, работая еще в институте, одна сотрудница хотела передать базу наших студентов кому-то на почту, у нее ничего не вышло.
Перечислять плюсы могу и дальше, но лучше как говорится увидеть в живую. Компания недавно запустила ИКС-online (логин: root, пароль:00000), что позволяет наглядно полазить по настройкам и понять, подходит Вам данная система или нет.
Компания проводит много акций на которых можно получить или хорошую скидку, или несколько пользователей к лицензии.
Лицензия, кстати приобретается единожды и на пожизненно. Дальше просто докупаются пользователи.
Данная система полностью зарекомендовала себя за 4 года работы в институте, с одним единственным сбоем и исключительно по той вине, что не было электричества, а UPS долго не проработали.
Автор: Natan4ik