Passerelle Internet logicielle pour une petite organisation

Tout homme d’affaires s’efforce de réduire ses coûts. Il en va de même pour l'infrastructure informatique.

Lorsqu’un nouveau bureau ouvre, les cheveux de quelqu’un commencent à se dresser. Après tout, vous devez organiser :

• réseau local;
• Accès Internet. C'est encore mieux en réservant auprès d'un deuxième prestataire ;
• VPN vers le bureau central (ou vers toutes les succursales) ;
• HotSpot pour les clients avec autorisation par SMS ;
• filtrer le trafic pour que les employés ne passent pas de temps sur les réseaux sociaux et ne discutent pas sur Skype ;
• protéger votre réseau contre les virus et les attaques. Assurer une protection contre les intrusions (IDS/IPS);
• votre propre serveur de messagerie (si vous ne faites confiance à aucun pdd.yandex.ru) avec antivirus et antispam ;
• vidage de fichiers ;
• Vous avez probablement besoin de téléphonie, c'est-à-dire organiser un PBX, se connecter à un fournisseur SIP et autres goodies...

Mais un spécialiste Enikey ne sera pas en mesure de créer un réseau d'entreprise avec de telles exigences... Embaucher un administrateur système coûteux ?
Un chiffre en rouble très important apparaît en termes de coûts futurs.

Mais ces coûts peuvent être considérablement réduits si vous prêtez attention à Solutions UTM, dont il existe désormais un grand nombre. Et comme j'adhère à la stratégie « le plus simple sera le mieux » pour résoudre mes problèmes, mon regard s'est tourné vers UTM Serveur de contrôle Internet (X).

Je vais vous expliquer ci-dessous comment ce système contribuera à économiser le budget de l’entreprise et pourquoi vous n’avez pas besoin d’un administrateur système coûteux pour le maintenir.

Mais pour l’avenir, je dirai qu’il s’agit d’un produit spécifique et qu’il a ses limites. Vous pouvez évaluer les capacités de la passerelle plus en détail Après avoir étudié la documentation sur le site officiel.
Je l'ai mis en place pour l'article « en russe », c'est-à-dire sans regarder le mana, pour comprendre à quel point tout était intuitif.

Installation initiale

ICS peut être installé aussi bien sur du matériel réel que dans un hyperviseur. Vous pouvez utiliser un PC sans ventilateur.Par exemple ceci.

Le système est basé sur FreeBSD 11.3 et sur la plupart des équipements, il devrait décoller sans problème.

L'installation s'effectue sur un disque vierge. Plus précisément, s'il y avait quelque chose là-bas, vous pouvez lui dire au revoir en toute sécurité.Malheureusement, le programme d'installation ne prend en charge que l'anglais. Mais après l'installation, l'interface principale peut être en russe.




Ils n’ont pas non plus oublié la tolérance aux pannes.S'il y a plusieurs disques dans le système, ils peuvent être combinés en un raid à l'aide de ZFS.

Sélectionnez une interface réseau et attribuez une adresse IP à partir du réseau sélectionné.

Veuillez indiquer un vrai nom de domaine si vous envisagez de mettre en place, par exemple, un serveur de messagerie. Si cela n’est pas nécessaire maintenant, vous pouvez écrire à l’improviste. Vous pourrez le corriger plus tard dans l'interface.

Tous! Vous pouvez vous connecter à l'interface Web en utilisant l'IP spécifiée dans les paramètres et le port 81. DHCP n'est pas encore activé à ce stade, vous devrez donc attribuer manuellement une IP du même réseau sur votre PC.

Nous nous connectons à Internet et connectons les bureaux.

Lorsque vous vous connectez pour la première fois, un assistant démarre fait Vous définissez un mot de passe fort.
Maître




Ensuite, nous allons dans les paramètres réseau

et configurez la connexion à notre fournisseur et les rôles de toutes les interfaces réseau.



Vous pouvez configurer plusieurs fournisseurs et organiser l'équilibrage.

À propos, si vous n’êtes pas à l’aise avec la langue anglaise de l’interface, vous pouvez facilement la modifier ici.


Si vous devez connecter un bureau, par exemple, au siège social. Ensuite, nous créons une nouvelle connexion

et configurez les routes vers les ressources sur le réseau distant.

Oubliez simplement le routage dynamique - ce n'est pas ici.
Peut-être que je suis trop pointilleux, mais à mon humble avis, c'est un gros inconvénient...

Accès Internet pour les salariés

Le plus souvent, la tâche principale d’une passerelle est de contrôler l’accès des employés à Internet.
Les employés peuvent être identifiés soit par IP/mac, soit par login/mot de passe via un agent ou un portail captif.


De plus, si votre organisation utilise Active Directory, ICS peut y être intégré.


Les paramètres de filtrage (où un employé peut et ne peut pas se rendre) sont très étendus.


Un grand nombre de modèles de règles prêts à l'emploi :
Vous pouvez autoriser YouTube, mais y interdire le téléchargement de vidéos.

Mais vous n’êtes pas obligé de vous limiter, et l’ICS vous dira toujours où tout le monde est allé et où ils sont allés grâce à ses rapports détaillés :

Qu’en est-il du Wi-Fi invité ?

Et le Wi-Fi invité peut être organisé conformément aux exigences des lois russes sur l'identification obligatoire des utilisateurs.
ICS prend en charge l'envoi de SMS via le protocole SMPP via n'importe quel fournisseur SMS.

Téléphonie.

Oui oui! Il n'est pas nécessaire d'installer un serveur séparé avec Asterisk. C'est déjà dans ICS.
J'ai connecté avec succès SIP depuis Megafon (emotion, multifon).

Comment obtenir SIP de Megafon aux tarifs cellulaires pour les particuliers peut être lu dans l'article «Tarif SIP de Megafon à domicile».

Sécurité.

ICS dispose de nombreux outils qui vous permettront de personnaliser le niveau de sécurité en fonction de vos besoins : des antivirus gratuits ClamAV et systèmes de détection d'intrusion Suricata aux produits Evgueni Kaspersky, en configurant uniquement via une interface Web compréhensible.

Même le même fail2Ban irremplaçable peut être configuré en quelques clics


L'ICS peut également surveiller le trafic via le protocole netflow à partir des équipements réseau sans faire passer le trafic par lui-même.

Cadeaux de communication

La communication avec les employés peut être organisée non seulement par téléphone et par courrier


mais aussi via Jabber. Certes, peu de gens se souviennent d'un tel protocole.

Serveur Web:
ICS dispose même d'un serveur Web prenant en charge PHP. Vous pouvez installer votre propre certificat HTTPS si vous en avez acheté un, ou spécifier que l'ICS reçoive gratuitement Let's Encrypt.


C'est suffisant pour héberger un site Web de cartes de visite ou une page de destination publicitaire. Mais vous ne pourrez pas vous lancer dans un portail lourd avec des modules personnalisés. Et pour moi, c'est stupide. Mais la passerelle doit rester une passerelle.

Configuration flexible de la surveillance et des notifications.
Les alarmes peuvent même être envoyées à Telegram. Et dans les réalités de la Fédération de Russie, il est même possible d'envoyer des messages via un proxy.

En conclusion

La passerelle Internet ICS contient presque tous les composants nécessaires au fonctionnement d'un petit bureau.
De plus, tout cela peut être configuré par un administrateur système novice.

Malgré le fait que le système ne soit pas construit sur FreeBSD, il n'y a pas d'accès via ssh. Autrement dit, vous ne pourrez pas installer de modules PHP sans béquilles. Il faudra vous contenter de ce que vous avez... Ou demander à l'assistance de le terminer.

En tout cas au début télécharger la version d'essai pendant 35 jours et vérifiez dans quelle mesure cette passerelle vous convient.

La licence n'a pas de durée de validité, mais malgré cela, le coût est assez démocratique.

Le système a fonctionné de manière adéquate sur le banc lors des tests synthétiques.

Si le client approuve et que vous êtes intéressé par le comportement de ce système en « bataille », j'écrirai dans 3 à 6 mois une critique avec tous les problèmes et difficultés rencontrés. Si possible, nous vérifierons la qualité du support technique.

Dans les commentaires, j'attends de votre part des questions qui devront être abordées en détail lors de l'utilisation au combat.

Source: habr.com