Среди разнообразия Linux-систем особенно выделяются специализированные
дистрибутивы-роутеры. Они, как правило, имеют небольшой размер, просты и понятны
в установке и настройке, а имеющиеся функции позволяют подключить к интернету
домашнюю/корпоративную сеть, защитив ее от сетевых атак и вирусов. У многих
таких решений есть функции контроля трафика, блокировки протоколов,
антиспам-фильтр, шейпер и многое другое, поэтому выбрать "своего защитника"
достаточно непросто. Эта статья поможет тебе быстрее сориентироваться.

 

Untangle Gateway 7.0.1

ОС: Untangle Gateway 7.0.1
Сайт проекта: www.untangle.com
Дата выхода: 20 октября 2009 года
Лицензия: GPL
Аппаратные платформы: x86_32
Системные требования: CPU 800 МГц, 512 Mб RAM, 20 Гб диск, 2+ NIC

Дистрибутив Untangle, выпускаемый одноименной компанией, способен
заменить коммерческие решения вроде ISA Server (Forefront
TMG
), обеспечивая безопасный доступ в интернет. Рассчитан Untangle на
небольшие и средние организации, имеющие 50-300 и более компьютеров (системные
требования приведены для 50). Основой Untangle послужил Debian, все настройки
производятся при помощи понятного, хотя и нелокализованного интерфейса. Для
управления достаточно понимать суть, глубоких знаний Unix-систем в обычной
ситуации не потребуется. В отличие от других решений, использующих
веб-технологии, интерфейс Untangle написан на Java, поэтому все изменения в
консоли управления, статистика работы и так далее выводятся в реальном времени,
что очень удобно. Хотя за использование Java пришлось заплатить повышенными
системными требованиями.

Untangle выполнен в виде конструктора. После установки базовой системы
в нем отсутствуют модули защиты, администратор самостоятельно выбирает то, что
действительно необходимо, ориентируясь по задачам и имеющемуся оборудованию. В
Untangle можно добавить 94 пакета (19 приложений), которые обеспечат:
маршрутизацию, антивирусную/антифишинг/spyware защиту, обнаружение атак, анализ
протоколов (7 уровень), контентную фильтрацию веб-трафика, VPN-подключения и
многие другие функции. В их основе лежат популярные OpenSource-приложения:
Snort, ClamAV, SpamAssassin, Squid и т.д. От DoS’а и некоторых низкоуровневых
сетевых атак защищает модуль собственной разработки "Attack Blocker", который
предлагается бесплатно. Антиспам-фильтр распознает спам в изображениях, для чего
он подключается к OCR. Модуль анализа протоколов при необходимости способен
ограничить работу любых протоколов прикладного уровня (P2P, IM и т.п., всего
~100 протоколов), даже если они используют нестандартные порты.

По подписке распространяются некоторые проприетарные разработки — антивирус
Касперского, eSoft Web Filter, модуль для работы с Active Directory,
резервирование настроек и т.д. Для удобства имеются и готовые "сборки" модулей,
предназначенные для различных сетей — Educations, Small Business, Professional,
Government (в разных вариантах поставки, распространяются также по подписке).
Бесплатный модуль Reports позволяет админу получать отчеты по всем возможным
ситуациям — сетевой активности, протоколам, обнаруженному спаму и вирусам,
активности пользователей. Результат можно сохранить в файлы форматов PDF, HTML,
XLS, CSV и XML и отправить по e-mail.

Установка дистрибутива достаточно проста и занимает минимум времени:
традиционно следуем по подсказкам мастера (во время установки можно выбрать
русский язык), отвечая на вопросы. По ходу будут проверены системные требования,
во всех позициях должно стоять ОК. Далее форматируем жесткий диск, процесс
автоматизирован и достаточно нажать кнопку "Продолжить".

После перезагрузки активируется мастер, задача которого — помочь в настройке
шлюза. В списке предложенных языков понятен только английский, русского здесь
уже нет. Далее последовательно набираем пароль для учетной записи admin,
выбираем часовой пояс, вводим регистрационную информацию (обязательны e-mail и
количество компов). После этого система распознает сетевые карты и назначает их
— External/Internal (при наличии третьего сетевого интерфейса можно без особых
проблем организовать демилитаризованную зону). Используя мышку, назначение можно
поправить, только вот определить, где какая из карт при имеющейся информации
невозможно. Задаем тип интернет-подключения (Static, DHCP, PPPoE), для проверки
нажимаем "Testing Connectivity". На шаге "Internal Network" потребуется выбрать
один из двух вариантов применения Untangle: Transparent Bridge или Router. При
выборе второго варианта нужно указать IP-адрес интерфейса внутренней сети и
опционально активировать встроенный DHCP-сервер. И последний этап — отправка
тестового сообщения на ящик админа, по умолчанию используется внутренний SMTP,
но можно указать и любой внешний. По окончании загружается консоль управления.
Слева две вкладки: в Apps выбираем и устанавливаем пакеты, в Config — производим
настройки. Все разбито по пунктам, поэтому найти нужные установки и разобраться
будет весьма просто. Например, для настройки Firewall переходим в одноименную
вкладку. Система сразу же предложит скачать требуемый пакет. Нажимаем "Free
Download", по окончании загрузки в центре окна появится ярлык для настройки
компонента.

Аналогичным образом ставим все необходимое — Attack Blocker, Protocol
Control, OpenVPN, Reports и т.д. Для настройки модуля выбираем его и щелкаем по
кнопке Setting. Например, в Firewall уже имеются 3 подготовленных правила
(блокировка входящих соединений на 21 порт; блокирующий и разрешающий рулесеты
для входящего трафика с сети 1.2.3.0). Их можно взять за основу, отредактировав
или создав свое правило по аналогии. Правило создается очень просто, нажимаем
Add и заполняем соответствующие поля. Здесь же в подвкладке "Event Log" можно
просмотреть связанные события.

Если закрыть окно веб-клиента, перед нами появится рабочий стол. В панели
несколько ярлыков, назначение которых носит больше вспомогательный характер —
запуск и остановка скринсейвера, восстановление, изменение разрешения и т.п.

 

Endian Firewall Community 2.3

ОС: Endian Firewall Community 2.3
Сайт проекта:

www.endian.com/en/community/overview

Дата выхода: 27 октября 2009 года
Лицензия: GPL
Аппаратные платформы: x86_32
Системные требования: CPU 166 МГц, 64 Mб RAM, 2 Гб

Основой Endian Firewall (EFW) изначально служил IPCop Firewall, в
котором разработчики решили усилить функции безопасности и юзабилити интерфейса.
Сегодня от родства уже мало что осталось, а EFW строится на базе CentOS и
включает полный набор средств защиты от внешних угроз, что позволяет относить
его к UTM-системам (Unified Threat Management, — смотри ниже). Это stateful
пакетный фильтр (netfilter), IDS/IPS (на базе Snort), фильтр контента,
антивирусная проверка HTTP/FTP/POP3/SMTP трафика, защита от спама, антиспуфинг и
антифишинг модули. Политики фильтрации и маршрутизации позволяют указать
практически всю актуальную информацию — сетевой интерфейс, протокол, порт, IP- и
МАС-адреса. Предусмотрена возможность настройки ACL к сайтам через HTTP Proxy
(прозрачный или непрозрачный) с привязкой к пользователю, группе, по адресу,
useragent, времени. Контентный фильтр содержит готовые настройки для более чем
20 категорий и подкатегорий.

Подключение к интернету реализовано посредством Ethernet, PPPoE, ADSL (USB,
PCI), ISDN, модема, в том числе и 3G. Внешнему интерфейсу можно назначить
несколько IP-адресов (IP-алиасинг). Кроме локальной (NCSA) аутентификации
пользователей, предусмотрена поддержка Active Directory, LDAP и RADIUS. Добавим
к этому списку создание и управление VLAN, полноценное управление QoS, поддержку
SNMP. В составе EFW находим два приложения для организации защищенного
VPN-соединения — OpenVPN и Openswan/Pluto (реализация IPsec для Linux).

Ведется статистика по соединениям, трафику, работе пользователей. При
наступлении определенных событий на e-mail админа отправляется сообщение.

Зашифрованный архив с настройками бэкапится на USB-флешку или засылается на
e-mail, так что при необходимости восстановить работу шлюза можно буквально за
пару щелчков мышки.

Управление системой предусмотрено из командной строки или через
локализованный веб-интерфейс.

Установка производится при помощи мастера с псевдографическим интерфейсом и
достаточно проста для неискушенного пользователя. Загружаемся и подтверждаем
форматирование диска, после чего начнется копирование системы, по запросу
указываем IP-адрес GREEN (внутреннего) интерфейса. Вот и вся установка. После
перезагрузки в консоль будут выведены данные для регистрации через веб
(http://ip-адрес/ или https://ip-адрес:10443). Предлагаемое консольное меню
позволяет выйти в shell, установить пароль учетных записей root (для SSH) и
admin (веб). Набрав в браузере предоставленный адрес и пройдя несколько шагов,
завершаем установку — выбираем язык (есть и русский), часовой пояс, соглашаемся
с условиями лицензии GNU GPL. Далее мастер предлагает импортировать настройки из
бэкапа, говорим "Нет" и указываем пароли для root и admin.

Теперь настал черед "Мастера настройки сети", упрощающего процесс подключения
к сети. С ним необходимо пройти 8 шагов, например, выбрать тип подключения RED
(внешнего) интерфейса и отметить, есть ли в наличии WiFi (BLUE) и DMZ (ORANGE).
При необходимости изменяем настройки GREEN, присутствует возможность
"переназначить" карту и указать алиасы, задать имя хоста. Аналогично повторяем
эту операцию для других интерфейсов, вводим адреса основного и резервного
DNS-серверов, e-mail админа. Все! После регистрации с учетными данными admin
попадаем на главную страницу консоли управления, где выводятся обновляемые в
реальном времени графики по трафику, данные по состоянию служб и загрузке
системы. Настроек достаточно много, но все они удачно распределены по группам,
названия которых говорят сами за себя — Система, Статус, Компьютерная сеть,
Службы, Межсетевой экран, Прокси, VPN и События. Справиться с дальнейшими
настройками EFW достаточно просто.

 

IPCop Firewall 1.9.8

ОС: IPCop Firewall 1.9.8
Сайт проекта: www.ipcop.org
Дата выхода: 29 октября 2009 года
Лицензия: GPL
Аппаратные платформы: x86_32
Системные требования: Intel Pentium II 233 МГц, 64 Mб RAM, 2 Гб

Версия IPCop 0.1.1 (2002 год) базировалась на SmoothWall 0.9.9, затем
проект полностью перешел на LFS и сегодня о родстве уже мало, что говорит.
Дистрибутив ориентирован на рынок SOHO (Small Office, Home Office), поэтому
основная задача разработчиков — сделать интерфейс удобным и простым. В поставке
имеется все необходимое для организации защищенного шлюза — фильтр пакетов,
IDS/IPS, веб и DNS прокси, DHCP сервер/клиент, Openswan, OpenVPN, ограничение
трафика, NTP-сервер. Реализован контроль соединений через веб-прокси по
IP-адресам и имени системы.

Все, чего не хватает в базовой поставке, доступно в аддонах
(sf.net/apps/trac/ipcop/wiki/Addons), которые разрабатываются и поддерживаются,
как правило, сторонними программистами. Здесь уже находим фильтр URL,
продвинутые настройки firewall, проверку веб и SMTP трафика на вирусы и многое
другое. Как и в EFW, интерфейсы имеют цвета — GREEN, RED, ORANGE (DMZ) и т.д.
Внешний интерфейс поддерживает подключение по Ethernet (статический, DHCP),
PPTP, PPPoE, ISDN, а также посредством модемного соединения. Некоторые операции
(подключение, отключение, обновление и т.п.) можно выполнять по расписанию.

До недавнего времени стабильной версией считалась 1.4.20 (с обновлением до
1.4.21), сегодня активно разрабатывается версия IPCop v2. С релизом 1.9.8 мы и
познакомимся.

Для загрузки доступны не только традиционные ISO (размер 50 Мб), но и образы
для сетевой загрузки, установки на USB-флешку/хард и некоторые другие.

Процесс установки производится в псевдографической консоли и весьма
тривиален. По окончании набираем в браузере адрес https://айпишник_шлюза:8443/.
Для локализации интерфейса следует перейти в System — GUI Setting и выбрать в
списке русский язык.

Консоль управления достаточно проста. Вверху 7 вкладок (Система, Состояние,
Сеть, Сервисы, Файервол, ВЧС, Логи), при наведении мышки на любую появляются
подпункты. Например, чтобы настроить OpenVPN, переходим в нужную вкладку, где,
установив флажок "OpenVPN on RED", активируем сервер. Теперь указываем
дополнительные параметры (IP-адрес внешней и внутренней сети, протокол, алгоритм
шифрования, сжатие передаваемых данных с помощью библиотеки LZO и т.п.) Переход
по "Advanced Server Options" позволит более тонко настроить работу
OpenVPN-сервера. Так же просто в "Файервол — Firewall Rules" настраиваются
правила пакетного фильтра. Выбираем тип правила (Outgoing Traffic,
Перенаправление портов, IPCop Access, External IPCop Access) и заполняем
предложенные поля.

 

SmoothWall Express 3.0 SP1 "Polar"

ОС: SmoothWall Express 3.0 SP1
Сайт проекта: smoothwall.org
Дата выхода: 8 января 2009 года
Лицензия: GPL
Аппаратные платформы: x86_32, x86_64
Системные требования: Intel Pentium 166 МГц, 32 Mб RAM, 2Гб HDD

Проект, возникший в середине 2000 года, ставил перед собой цель превратить
устаревший компьютер в полноценный шлюз с функциями защиты, с настройками
которого мог бы справиться обычный пользователь. Начинание имело успех. За
первые месяцы с SourceForge было скачано несколько десятков тысяч копий, хотя
удобным веб-интерфейсом, IDS/IPS и некоторыми другими полезными функциями
SmoothWall
обзавелся чуть позже (с версии 0.9.9). В составе SmoothWall
имеется все необходимое — firewall, форвардинг портов, поддержка VPN,
Web/DNS/POP3/SIP прокси, IM-прокси (MSN/AIM/ICQ/Yahoo) с готовыми фильтрами и
журналированием трафика (на базе IMSpector), DHCP-сервер, NTP, поддержка QoS.
Возможна установка доступа выхода в интернет для определенных адресов в
зависимости от времени суток. При необходимости трафик проверяется при помощи
антивируса Clamav.

Как и в двух предыдущих дистрибутивах, поддерживается до 4 сетевых
подключений: WAN, LAN, DMZ, WiFi. "Красный" интерфейс можно закрепить за:
Ethernet (Static, DHCP), PPPoE, ISDN, ADSL или модемным соединением.

Сам релиз 3.0 вышел в конце 2007 года, сегодня доступна свежая версия с SP1.
Кроме ISO (x86, x86_64), на отдельной странице доступен образ VMWare.

Установка достаточно проста, несколько раз нажимаем ОК и процедура завершена.
Далее идут первичные настройки — раскладка, hostname и выбор политики исходящего
трафика:

  • Open — весь исходящий трафик разрешен;
  • Half-Open — разрешено подключение только по основным портам, потенциально
    опасные соединения блокированы;
  • Closed — все исходящие соединения блокированы.

Затем настраиваем тип сети. Предлагается несколько комбинаций интерфейсов и
типов соединений (GREEN + RED, GREEN + RED + ORANGE и т.п.) После чего
распределяем сетевые устройства по назначению, указываем адреса интерфейсам (где
нужно) и адреса шлюза и DNS-сервера. Указываем пароль для пользователей root и
admin. После перезагрузки для дальнейших установок вызываем браузер и набираем
http://ip-адрес:81/ или https://ip-адрес:441.

Веб-интерфейс не локализован, но достаточно прост. Выбираем одну из основных
вкладок (Control, About, Services, Networking, VPN, Logs, Tools, Maintenance) и
получаем доступ к настройкам. По умолчанию Snort не активирован, необходимо
перейти в Services -> IDS, установить флажок "Snort" и ввести "Oink code".
Настройки правил брандмауэра производятся в Networking, выбираем нужное
направление (например, outgoing) и заполняем предложенные поля. Использование
AJAX позволяет админу просматривать графики загрузки каналов в реальном времени
(вкладка About). Доступна статистика трафика по любому IP-адресу, за любой
период времени. Обновление дистрибутива производится нажатием одной кнопки в
Maintenance -> Updates.

 

Vyatta CE 5

ОС: Vyatta Community Edition 5.0.2
Сайт проекта: www.vyatta.org
Дата выхода: 9 марта 2009 года
Лицензия: GPL
Аппаратные платформы: x86_32
Системные требования: Intel Pentium III 450 МГц, 128 Мб ОЗУ и 2 Гб, 2+ NIC

Разработчики дистрибутива Vyatta решили составить конкуренцию не кому-нибудь,
а самой Cisco Systems. Взяв за основу Debian, они интегрировали его со свободно
распространяемой платформой маршрутизации XORP (eXtensible
Open Router Platform
), разработкой которой занимается группа в ICSI
(International Computer Science Institute) Беркли. Установив Vyatta на
x86 компьютер, получаем маршрутизатор с функциями IDS/IPS (Snort), кэширующий
прокси и фильтр URL (Squid + SquidGuard), сетевые политики (Network Access
Policies), OpenVPN, DNS Forwarding, Ethernet Bonding и Bridged Ethernet over
ADSL (RFC 2684). Поддерживаются мультипортовые карты (T1/E1, T3 и др.) и
беспроводные 3G-модемы.

Первые версии Vyatta настраивались исключительно посредством командной
строки (как маршрутизаторы Cisco). C версии 4 стал доступен веб-интерфейс (для
этих целей в состав включен lighttpd). Особо подчеркивается поддержка популярных
сегодня виртуальных машин — VMware, Xen,
Hyper-V и некоторых
других гипервизоров. Дистрибутив может работать с LiveCD с сохранением настроек
на флешку или другой носитель (файл config.boot). Возможна установка на хард,
USB-брелок или карту Compact Flash. При наличии двух дисков установщик позволяет
их автоматически связать в RAID 1.

Проект предлагает коммерческую поддержку и продает роутеры с
предустановленным ПО. Для свободной загрузки и использования доступна версия
Vyatta Community Edition (ISO, образы Citrix XenServer и VMWare).

Процесс установки достаточно прост, хотя и производится при помощи командной
строки. Регистрируемся как root с паролем vyatta и запускаем инсталлятор:

# install-system

Далее приступаем к созданию разделов. По умолчанию стоит Auto. Введя "Yes",
подтверждаем уничтожение данных на диске, указываем размер корневого раздела (по
умолчанию весь диск) и ждем, пока скопируются данные. Затем устанавливаем пароли
пользователей root и vyatta, водружаем GRUB, после чего перезагружаемся и
переходим в режим конфигурирования:

# configure

Настраиваем сетевой интерфейс:

# set interfaces ethernet eth0 address 192.168.1.1/24
# set interfaces ethernet eth0 description LAN

Включаем веб-интерфейс:

# set service https

Аналогично включаются и остальные сервисы — nat, dns, dhcp-relay,
dhcp-server, webproxy, ssh. В консоли доступно автодополнение: нажимая <Tab>,
получаем список возможных значений. Подтверждаем все установки:

# commit

Смотрим, что получилось:

# show interfaces

Все настройки можно вывести, набрав show-all. Выходим из режима
редактирования по команде exit. Теперь вызываем браузер и настраиваем параметры
при помощи веб-интерфейса. Выбираем нужную категорию и нажимаем кнопку Create,
после чего заполняем предложенные поля. Кнопка Show в самом верху покажет
конфигурационный файл, в котором знаком "+" будут подсвечены добавленные, но еще
не активированные параметры. Чтобы привести их в действие, нажимаем кнопку
Commit (отмена — Discard).

На мой взгляд, чем настраивать аналогичное разрешающее правило при помощи
предлагаемого веб-интерфейса, проще ввести в командной строке:

# set firewall name allow rule 10 action accept
# set firewall name allow rule 10 source address 192.168.0.0/24
# set interfaces ethernet eth0 firewall in name allow
# commit

Нужно только немного привыкнуть к новому синтаксису.

 

Заключение

Победителя каждый выберет себе сам, исходя из конкретных задач. Мне лично
нравится Vyatta за гибкость и Cisco-подобные команды, Endian Firewall и Untangle
— за оснащенность. Если тебе нужна простота в настройках, присмотрись к
SmoothWall и IPCop.

 

INFO

Основой IPCop и Endian Firewall служил SmoothWall, но об их родстве сейчас
вряд ли кто-нибудь догадается.

В Vyatta используются Cisco-подобные команды. Хороший повод потренироваться.

Vyatta сочетает в себе гибкость в настройках и надежность, присущие
коммерческим решениям.

 

Все в одном — eBox Platform

eBox отличается от
решений, ориентированных исключительно на построение защищенного шлюза. Сами
разработчики eBox определяют назначение как "Open source small business server",
поэтому и возможностей у него на порядок больше. eBox присущи все функции
предоставления доступа в интернет и UTM-решения. Кроме того, в его состав
включены все компоненты, затребованные в сетях малого и среднего бизнеса —
Samba, Jabber/XMMP, почтовый (Postfix/Dovecot) и веб-сервер (с поддержкой
виртуальных доменов), приложение групповой работы eGroupware (календарь,
контакты, веб-почта и т.п.), VoIP Asterisk. Все это дополнено компонентами
аутентификации пользователей, мониторинга, отчетов и удобным локализованным
веб-интерфейсом управления. В процессе установки администратор самостоятельно
выбирает необходимые компоненты. Основой последней версии eBox 1.2 является
Ubuntu Server 8.04, с которым он полностью совместим по пакетам.

 

UTM-системы

Сегодня интернет несет в себе не один десяток угроз — вирусы, спам, фишинг,
сетевые атаки, спуфинг и так далее. Очевидно, что системы с узкой специализацией
(например, антивирусы) неспособны защитить сеть, это под силу только
комплексному многофункциональному решению, которое включает в себя все
компоненты. Именно такой класс устройств, имеющий в своем составе брандмауэр,
IDS/IPS, антивирус, прокси-сервер, контентный фильтр и антиспам модуль, и
именуется UTM.

Сам термин UTM (Unified Threat Management, объединенный
контроль угроз
) введен Чарльзом Колодги из аналитической компании IDC
(International Data Corporation) в документе "World wide Threat Management
Security Appliances 2004-2008 Forecast and 2003 Vendor Shares:The Rise Of the
Unified Threat Management Security Аррliаnсе", опубликованном в сентябре 2004
года.

 

WARNING

При установке любого описанного в статье дистрибутива данные на харде будут
уничтожены!

Оставить мнение

Check Also

Беспощадный буст. Как ускорить многопоточный код на C++

Уже много лет твой компьютер умеет выполнять код любимого ПО параллельно на всех своих ядр…