Аналог usergate для linux
Keper
squid можно и под виндами развернуть, а толку.
squid только http/ftp/https проксирует, NAT всё равно нужно разворачивать, либо средствами Windows, либо средствами Linux.
Pum@ . даже не прокси-сервер нужен, а система биллинга с шейпером, прикручивающиеся к NAT.
Pum@ .
Попробуй связку Lan2net NAT Firewall 2.0 и Lan2net Traffic Shaper
Ещё кроме этих Kerio делает Kerio Winroute.
Ну и как правильно заметил Keper — Linux, только не плюс squid, а плюс какой-нибудь шейпер под linux.
Keper
А что и где прописывать в конфиге squid ты знаешь?
Мне лично неизвестно, как реализовать NAT средствами squid.
Попробуй в любой проксе забей на приём 80-й порт, забей в качестве основного шлюза адрес машины с прокси и указав в браузере прямое подключение к интернет. Попробуй выйти в интернет, без поднятого на машине с проксёй NAT — не получиться.
Keper
Я в курсе.
squid-то тут каким боком?
Для реализации NAT он не нужен.
Теоретически возможно весь трафик из локалки адресованный на сервера в интернет, на различные TCP и UDP порты. Завернуть на порт прослушиваемый squid.
Но это ничего даст, кроме того что интернет просто не будет работать.
Для решения поставленной Pum@ задачи под Linux, нужно поднять NAT (при помощи iptables) и ещё нужен какой-нибудь шейпер под Linux.
Под линукс тяжело: Нет отдельной машины, я туговат в этой операционной системе, да и не нужны много всяких функций и возможностей.
«Попробуй связку Lan2net NAT Firewall 2.0 и Lan2net Traffic Shaper» А для чего связка?
«Ещё кроме этих Kerio делает Kerio Winroute.» Так всё же какой на ваш взгляд лучше в моём случае? Нужно только ограничивать скорость и пускать людей в интернет без мудростей, как я полагаю посредством NAT.
Pum@ .
Ну если Lan2net Traffic Shaper может работать в cвязке с Windows’овским NAT, без Lan2net NAT Firewall, то можно только Shaper. А NAT можно поднять и средствами самого Windows.
Понятия не имею. Мне никогда не нужен был шейпер.
Просто, когда для себя подбирал программу прокси-сервер, эти две программы мне запомнились тем, что в них реализован собственный NAT и они не используют NAT Windows, соответственно полномочия их шейпера распространяются не только на http/https/ftp — трафик, но и на трафик, который проходит на другие порты (от асек, почтовых клиентов и т.п.)
Собственно, если в качестве ОС на компе раздающем инет, будет Windows, тебе нужно либо искать прокси-сервер с собственным NAT (Наличие встроенного шейпера в таких проксях стандарт), либо шейпер, который может быть прикручен к NAT Windows.
Добавлено через 3 минуты
Если хочешь, чтобы было кэширование http/ftp-траффика, то только прокси с собственным NAT и возможностью работы в transporent (прозрачном) режиме.
тебе знать зачем ты его к нату приплёл.
Keper
Предложение NAT возникло из-за:
Его даже для браузера недостаточно.
80-й порт это только http, а есть ещё 21 — FTP и 443-й https.
Собственно, большинство проксей умеют обслуживать http/ftp/https-запросы — этого, как правило, достаточно для работы браузеров.
Однако, почтовые клиенты работают с другими портами обычно 25,110, аська работает через порт 5190.
Кроме того, если приложение настроено на работу с прокси сервером, его запрос отличается от запроса при прямом подключении.
В режиме «работа через прокси», приложение отправляет пакеты, в которых содержится доменное имя запрашиваемой страницы, причём пакеты адресованы на адрес:порт прокси в локальной сети.
В режиме «без прокси» приложение, сначала пытается отправить UDP-пакеты на DNS-сервер, прописанный в свойствах сетевого подключения.
И только после того, как DNS-сервер вернёт ip-адрес сервера, на котором находится запрашиваемая страница, отправляются пакеты на соответствующий ip-адрес:порт.
transporent-режим работы прокси, производит форвардинг DNS-запросов и перебрасывает пакеты из локалки, адресованные в интернет, как правило, на порты 80,21,443. Таким образом получается как бы NAT, только урезанный до обеспечения работы DNS и http/ftp/https. Но в таком режиме на браузерах клиентов действительно не нужно ничего настаивать.
Только в свойствах сетевого подключения прописать в качестве основного шлюза ip-адрес машины с прокси и также прописать адрес DNS-сервера. Однако, ни о какой работе ICQ и почтовых клиентов, при таких раскладах не может идти и речи.
Шейперы прокси, работают с трафиком, который проходит непосредственно через прокси. Если параллельно на машине с прокси поднят NAT средствами не имеющими никакого отношения к прокси (например средствами ОС), то транзитные пакеты будут проходить мимо прокси и шейпер прокси не может оказать на них никакого влияния.
аналог usergate
Подскажите пожалуйста есть ли на Linux аналог UserGate?
Squid как вариант не рассматривается, нужна программа с графическим интерфейсом.
если усиленно жаждешь свистоперделок, то покопай в сторону Kerio Firewall (ныне Kerio Control). Оно того стоит за свои деньги.
А чем не устраивает Squid то? Однако это лучший вариант. А для графического управления есть SAMS и SquidGuard(хотя тут настройка не очень графическая) и всё это через браузер по-моему все возможности UserGate в них есть.
Есть ещё куча разных подобных управлялок сквидом.
насколько я понял у Squid только 80 порт слушаеться
да и с настройками его слишком много возиться нужно 🙁 нужно что то попроще
насколько я понял у Squid только 80 порт слушаеться
ты очень плохо понял. какие порты откроешь, такие и прослушиваются.
Вообще-то по умолчанию он слушает совсем не 80 порт для http, да и для других протоколов он слушает остальные порты стандартные. Всё дело в мощности осилятора.
squid требует рабочего DNS, а мы работаем без такового, как быть?
Попробуй 3proxy кросплатформенный, автор русский и активно общается на форуме программы. Гуи конечно нет, но конфиг намного понятней (сам пробавал сквид-не осилил) и полно документации на русском(если с английским плохо — самое то)
Аналог usergate для linux
добрый день, использовал «почти» обе версии ( 4.2 usergate не видел)
из usergate с 2,7 до 4,0 — сейчас все еще на 2,8 версии остановился
— usergate 2.8 может в принципе все что вы хотите.
( выше версии мне не очень понравились ;-( )
— работает стабильно
— есть кучу настроек по пользовалям, ограничения присутвуют разные,
— интерфейс 2.8 у меня русский
из кери винроут — тестил версии 6.3 и 6.4 — проблем не заметил, явных . ключик вот только на 6.4 не подходил пришлось остановиться на 6.3
— работает стабильно
— есть кучу настроек по пользовалям, ограничения присутвуют разные,
— но интерфейс что я видел был анг
( но думаю или руссфикаторы есть
или русские версии — где то видел как то)
насчет — какие файлы пользователь качает
— в usergate можно просто файлы логов посмотреть,
обычные тхт файлы, и увидеть что за файлы тащили,
— а в кери не подскажу, не ставил такую задачу,
но логи тоже есть, а раз есть в них тоже должно такое быть.
Обзор платформы UserGate
Мы продолжаем цикл статей, посвященных тематике комплексной ИТ- интеграции.
И сегодня мы хотим поговорить об одной из отечественных разработок, которую мы как интеграторы можем предложить нашим заказчикам для решения задачи обеспечения безопасности периметра сети. Особенно это актуально в условиях секционной политики и требований импортозамещения.
Введение санкций стало вызовом, в том числе, для инженеров, которые получили сертификацию, огромную базу знаний по решениям иностранных вендоров, но в какой-то момент были вынуждены оперативно перестроиться на «новую волну», фактически многое начав заново.
На новый уровень пришлось выйти и отечественным разработчикам, чтобы в кратчайшие сроки предложить достойную альтернативу лидерам IT-решений. Сейчас уже можно сказать, что получается у них довольно неплохо. Перейдем к конкретному примеру, а именно -межсетевому экрануUserGate. Кратко рассмотрим, какие задачи он позволяетт нам решать, и какой в него заложен потенциал для развития.
Итак, давайте поговорим о том, что же предлагает UserGate из функционала, и в каких сферах может быть применен.
Рисунок 1 – Функционал межсетевых экранов UserGate
Рисунок 2 – Сферы применения межсетевых экранов UserGate
Разработчики очень много времени внимания уделили созданию собственной платформы, которая не опирается на использование чужого исходного кода и сторонних модулей. UserGate работает на базе специально созданной и постоянно поддерживаемой и развивающейся операционной системы UG OS.
По сути, UserGate представляет собой универсальный интернет-шлюз класса Unified Threat Management (единая защита от угроз), объединяющий функционал межсетевого экрана, маршрутизатора, шлюзового антивируса, системы обнаружения и предотвращения вторжений (СОВ), VPN-сервера, системы контентной фильтрации, модуля мониторинга и статистики и многое другое. Продукт позволяет управлять сетью компании, оптимизировать используемый ею трафик и эффективно предотвращать интернет-угрозы.
Рассмотрим подробнее, что может предложить UserGate в плане функционала безопасности сети и защиты от сетевых угроз.
Межсетевое экранирование
Встроенный в UserGate межсетевой экран нового поколения (NGFW — Next Generation Firewall) фильтрует трафик, проходящий через определенные протоколы (например, TCP, UDP, IP), тем самым обеспечивая защиту сети от хакерских атак и разнообразных типов вторжений, основанных на использовании данных протоколов.
Обнаружение и предотвращение вторжений
Система обнаружения и предотвращения вторжений (СОВ) позволяет распознавать вредоносную активность внутри сети. Основной задачей системы является обнаружение, протоколирование и предотвращение угроз в режиме реального времени, а также предоставление отчетов. Администратор может создавать различные СОВ-профили (наборы сигнатур, релевантных для защиты определенных сервисов) и задавать правила СОВ, определяющие действия для выбранного типа трафика, который будет проверяться модулем СОВ в соответствии с назначенными профилями.
Антивирусная проверка трафика
Потоковый антивирус UserGate позволяет обеспечить антивирусную проверку трафика без ущерба для производительности и быстродействия сети. По заявлению вендора модуль использует обширную базу сигнатур, которая постоянно обновляется. В качестве дополнительной защиты можно подключить модуль эвристического анализа.
Проверка почтового трафика
UserGate способен обрабатывать транзитный почтовый трафик (SMTP(S), POP3(S)), анализируя его источник, а также содержание письма и вложений, что гарантирует надежную защиту от спама, вирусов, pharming- и phishing- атак. UserGate также предоставляет возможность гибкой настройки фильтрации почтового трафика по группам пользователей.
Работа с внешними системами безопасности
Имеется возможность передавать HTTP/HTTPS и почтовый трафик (SMTP, POP3) на внешние серверы ICAP, например, для антивирусной проверки или для анализа передаваемых пользователями данных DLP-системами. Администратор может указать, какой трафик требуется передавать на ICAP, а также настроить работу с фермами серверов.
Управление АСУ ТП
В новой версии платформы появилась возможность настройки автоматизированной системы управления технологическим производством (АСУ ТП) и управления ей. Администратор может контролировать трафик, настроив правила обнаружения, блокировки и журналирования событий. Это позволяет автоматизировать основные операции технологического процесса, сохраняя при этом возможность контроля и вмешательства человека при необходимости.
Настройка политик безопасности при помощи сценариев
UserGate позволяет существенно сократить время между обнаружением атаки и реакцией на нее благодаря автоматизации безопасности при помощи механизма сценариев (SOAR — Security Orchestration, Automation and Response). Эта концепция находится на пике популярности и позволяет администратору создавать сценарии (запускаемые по плану или при обнаружении атаки), где прописываются автоматические действия в ответ на те или иные события. Такой подход обеспечивает гибкую настройку политик безопасности, сокращает участие человека благодаря автоматизации повторяющихся задач, а также дает возможность приоритезировать сценарии для скорейшей реакции на критичные угрозы.
А теперь посмотрим, какие технологии предлагает UserGate для обеспечения решения задач отказоустойчивости и надёжности.
Поддержка кластеризации и отказоустойчивости
UserGate поддерживает 2 типа кластеров: кластер конфигурации, позволяющий задать единые настройки узлам в рамках кластера, и кластер отказоустойчивости, призванный обеспечить бесперебойную работу сети. Кластер отказоустойчивости может работать в двух режимах: Актив-Актив и Актив-Пассив. Оба поддерживают синхронизацию пользовательских сессий, что обеспечивает прозрачное для пользователей переключение трафика с одного узла на другие.
FTP поверх HTTP
Модуль FTP поверх HTTP позволяет обращаться к содержимому FTP-сервера из браузера пользователя.
Поддержка нескольких провайдеров
При подключении системы к нескольким провайдерам UserGate позволяет настроить для каждого из них свой шлюз для обеспечения доступа к интернету. Администратор также может скорректировать балансировку трафика между провайдерами, указав вес каждого шлюза, или указать один из шлюзов как основной с переключением на других провайдеров в случае недоступности основного шлюза.
Управление пропускной способностью
Правила управления пропускной способностью служат для ограничения канала для определенных пользователей, хостов, сервисов или приложений. Кроме всего прочего, в продуктах UserGate реализован довольно широкий функционал маршрутизации трафика и публикации локальных ресурсов.
UserGate позволяет использовать как статическую, так и динамическую маршрутизацию. Динамическая маршрутизация осуществляется по протоколам OSPF и BGP, что делает возможным применение UserGate в сложной маршрутизируемой сети предприятия. Администратор может создавать в системе правила NAT (для предоставления пользователям доступа в интернет), а также правила безопасной публикации внутренних ресурсов в интернет с использованием reverse-прокси для HTTP/HTTPS и DNAT для других протоколов.
В принципе, ничего инновационного, но для того, чтобы инженеры заказчика чувствовали себя относительно спокойно, этих технологий вполне достаточно.
Управление трафиком и контроль доступа в интернет
Если есть доступ в интернет, есть и задача контроля трафика. Еще не так давно большинство корпоративных клиентов было заинтересовано прежде всего в минимизации расходов на доступ в интернет (особенно это касалось небольших фирм) и безопасности (эту задачу давно с успехом решает всевозможное антивирусное ПО). Сегодня все больше внимания уделяется тому, как сотрудники используют Сеть и как сделать так, чтобы их действия не угрожали безопасности бизнес критичных сервисов.
Применение модуля интернет-фильтрации обеспечивает административный контроль за использованием интернета и блокировку посещения потенциально опасных ресурсов, а также, когда это необходимо, сайтов, не связанных с работой. Для анализа безопасности ресурсов, запрашиваемых пользователями, используются репутационные сервисы, MIME-типы контента (фото, видео, тексты и др.), специальные морфологические словари, предоставляемые UserGate, а также черные и белые списки URL. С помощью Useragent администратор может запретить или разрешить работу с определенным типом браузеров. UserGate предоставляет возможность создавать собственные черные и белые списки, словари, MIME-типы, морфологические словари и Useragent, применяя их к пользователям и группам пользователей. Даже безопасные сайты могут содержать нежелательные изображения на баннерах, содержимое которых не зависит от владельца ресурса. UserGate решает эту проблему, блокируя баннеры, защищая пользователей от негативного контента. У UserGate, есть, на наш, очень интересная функция инжектирования кода на web-страницы. Она позволяет вставить необходимый код во все web-страницы, которые просматривает пользователь. Далее администратор может получать различные метрики на каждый элемент страницы и при необходимости скрывать различные элементы от показа на web-страницах.
С помощью технологии MITM (Man In The Middle) есть возможность фильтровать не только обычный, но и зашифрованный трафик (протоколы HTTPS, SMTPS, POP3S), подписывая доверенным корневым сертификатом при шифровании после анализа. Система позволяет настроить выборочную проверку трафика, например, не расшифровывать ресурсы категории «Финансы».
UserGate помогает принудительно активировать функцию безопасного поиска для систем Google, Yandex, Yahoo, Bing, Rambler, Ask и портала YouTube. С помощью такой защиты возможно добиться высокой эффективности, например, при фильтрации откликов на запросы по графическому или видеоконтенту. Также можно заблокировать поисковые системы, в которых не реализована функция безопасного поиска. Кроме того, у администраторов есть инструментарий для блокировки игр и приложений в наиболее популярных социальных сетях, при том, что доступ к самим социальным сетям может быть разрешен.
Платформа поддерживает различные механизмы авторизации пользователей: Captive-портал, Kerberos, NTLM, при этом учетные записи могут поступать из различных источников — LDAP, Active directory, FreeIPA, TACACS+, Radius, SAML IDP. Авторизация SAML IDP, Kerberos или NTLM позволяет прозрачно (без запроса имени пользователя и его пароля) подключить пользователей домена Active Directory. Администратор может настроить правила безопасности, ширину канала, правила межсетевого экранирования, контентной фильтрации и контроля приложений для отдельных пользователей, групп пользователей, а также всех известных или неизвестных пользователей. Дополнительно к этому продукт поддерживает применение правил безопасности к пользователям терминальных служб с помощью специальных агентов (Terminal Services Agents), а также применение агента авторизации для Windows-платформ. Для обеспечения большей безопасности учетных записей существует возможность использовать мультифакторную аутентификацию с помощью токенов TOTP (Time-based One Time Password Algorithm), SMS или электронной почты. Функционал предоставление временного доступа у сети может пригодиться для гостевого WiFi с подтверждением через email или sms. При этом администраторы могут создавать отдельные настройки безопасности для каждого временного клиента.
Заключение
В этой статье мы постарались кратко рассказать о том функционале, который реализован на платформе межсетевых экранов UserGate. Пока за скобками остались и технологии организации виртуальных сетей для геораспределной сети, и безопасный доступ пользователей к ресурсам компании и т.д.
Все эти темы, вплоть до примеров конфигураций различных технологий, запланированы в следующих статьях, посвященных платформе UserGate.