Интернет Контроль Сервер Lite
Существует бесплатная версия отечественного межсетевого экрана Интернет Контроль Сервер - Lite. Ограничения - до 9 пользователей, нет Антивируса и антиспама Касперского, нет контент-фильтров SkyDNS и Garnet.
Для того, чтобы его получить необходимо запросить через их официальный сайт дистрибутив (ссылка) и нажать на кнопку Скачать, которая откроется форму заявки с обязательным полем телефон. Не бойтесь заполнять. Перед тем, как отправить дистрибутив вам позвонят и поинтересуются по целях использования их продукта. Это логично, так как в форме заявке не указывается, что вы хотите использовать дома, а количество пользователей еще ни о чем не говорит. Вы можете использовать его для защиты некоторых серверов и в таком случае бесплатного функционала будет недостаточно.
В общем, заполняем заявку, после звонка нам отправят ссылку на дистрибутив и с него можно будет установить межсетевой экран Интернет контроль сервер. После установки он попросит заполнить анкету и выбрать версию (trial, платная или бесплатная). Не думая выбирайте бесплатная, а пока вашу заявку на бесплатную версию не подтвердят активируется пробная версия. Пока работает пробная версия нужно успеть скачать правила для IDS Suricata от Касперского, так как в бесплатной версии они будут недоступны. Контент-фильтры можно сразу отключить, так как в lite версии они работать не будут.
Данный межсетевой экран базируется на операционной системе FreeBSD, что гарантирует большое количество проблем совместимости с большинством существующего железа. Если нужно реализовать именно межсетевой экран без дополнительного оборудования, вроде w-fi карт, принтеров и любого дополнительного оборудования, тогда он отлично подойдёт. Дело в том, что wi-fi карту, которая будет работать без проблем на FreeBSD найти практически невозможно, даже если выбирать по списку поддерживаемого аппаратного обеспечения на сайте FreeBSD. Даже если wi-fi карта указана там, как поддерживаемая, она либо будет отваливаться регулярно из системы, либо будут проблемы с подключением к ней с мобильных телефонов. Такие проблемы будут наблюдаться во всех межсетевых экранах, которые основаны на FreeBSD. Если требуется на этом же устройстве реализовать Wi-FI, тогда лучше выбрать межсетевой экран, который основан на Linux - там все эти дополнительные устройства будут работать идеально из коробки.
Вернёмся к Интернет Контроль Серверу. При работе в нем меня не покидает ощущение, что он основан на OPNsense, но это скорее всего не так. Интернет Контроль Сервер появился в 2003 году, в то время как pfSense, на котором и основан OPNsense появился только в 2004 году. pfSense был основан на m0n0wall, который тоже появился в 2003 году, но это скорее совпадение.
К слову, хочу написать вам пароль администратора по умолчанию recovery, так это не указано у них в документации - только в текстовом документе к образу виртуальной машины, но если ты его не скачивал, то и не узнаешь.
Для него минимальным объёмом ОЗУ является 4 гигабайта, и если сравнивать его с другим межсетевыми экранами, то не очень понятна его прожорливость. При одном активном пользователе используется 73% оперативной памяти (4 гигабайта), когда в pfSense и OPNsense при большем количестве пользователей показатели использования ОЗУ ниже, а IPFire вообще только нюхает ОЗУ. При этом, во всех указанных МЭ были максимальные настройки и максимальное количество списков для блокировки.
Хочу сразу прояснить свою позицию - мне межсетевой экран Интернет Контроль Сервер Lite понравился, но из-за проблем с поддержкой wi-fi карт использовать его не могу. Они придумали гениальный маркетинговых ход - бесплатные версии до 9 пользователей. Это поможет стать им более известными и найти своего потребителя! Поскольку я люблю честность, то и отзыв мой максимально честный, в котором покажу все недостатки, над которыми им предстоит поработать.
Это виртуальная память! Это не оперативная память!
А это уже мониторинг оперативной памяти. Съедает якобы приложения. Методом научного тыка смог определить, что от 5 до 7% съедает попытка переподключить отвалившийся USB wi-fi адаптер. К слову, он заявлен как поддерживаемый. Еще 8-13% съедает антивирусная проверка при помощи ClamAV в Прокси-сервере.
Первым делом нужно настроить сети, хотя частично вы это сделаете уже при установке. Настраиваются они предельно удобно и функционально. Это самое удобное меню настройки сетевых адаптеров из всех, что я видел за всю свою жизнь. И тут же можно настроить wi-fi адаптер.
Настройки сетей максимально удобные. Можно настроить несколько провайдеров. Очень функционально и удобно. Как можете видеть, у USB-Wi-Fi Кабель отключен, хотя во время создания снимка устройство было подключено.
Можно набрать в поиске "Список поддерживаемого аппаратного обеспечения FreeBSD" и первые же ссылки покажут поддерживаемые устройства, но это всё вилами по воде писано. Есть в википедии удобный список, но это тоже не поможет. Если вам нужен Wi-Fi на межсетевом экране - выбирайте межсетевой экран, который не основан на FreeBSD.
В списке почти все wi-fi адаптеры очень старые и вот так просто в магазине их найти не получится! Я нашел PCI-E карту Asus PCE-N15 (в ней стоит поддерживаемый чип) и USB адаптер TP-Link TL-WN821N. PCI-E карта идеально работает с ноутбуками, но телефоны не могут подключиться к ней - сбой аутентификации, хотя пароль правильный. Настройки крутить бесполезно. Пробовал даже отключить криптографию (в других межсетевых экранах на FreeBSD) - это не помогло, так как дело в драйвере и самой ОС. При этом, телефон с Android 4 подключается, но более новые iOS и Android нет. Гибкие настройки разработчика в Android не помогают решить проблему.
С USB Wi-Fi адаптером другая песня! С ним всё работает идеально, все устройства подключаются, но до тех пор, пока он не отвалится из системы. К сожалению, не сохранил ошибку, которую он пишет в консоль. Можно вытащить его и вставить заново через несколько секунд (не сразу), и тогда он опять будет работать, но до тех пор, пока вновь не отвалится. Я пытался менять настройки, но это бессмысленно. Именно эта проблема с TP-Link TL-WN821N наблюдается на OPNsense, pfSense и Интернет Контроль Сервер. Она во всех трех межсетевых экранах одинаковая. Достаточно вставить данный адаптер в Linux или Windows и он перестает отваливаться.
Не зря же ребята с Positive Technologies говорили, что NGFW можно нельзя построить на базе Linux, и что тут нужна FreeBSD. Судя по всему, речь именно в глубоком анализе пакетов. Большинство топовых межсетевых экранов построены на базе FreeBSD. Именно из-за FreeBSD на борту они пытаются продавать свои программные продукты сразу в комплекте с железом, то есть как программно-аппаратные комплексы, хотя тут дело и в требованиях ФСТЭК.
Очень красивый монитор соединений, но полезность его очень низкая, так как тут нет возможности посмотреть MAC-адрес устройства. Фишка в том, что с телефона ты можешь подключиться к Wi-Fi сети, но пока ты не добавишь его в пользователя, в котором есть разрешающие правила, у тебя не будет доступа в интернет. Это правильно и заслуживает аплодисментов, но найти MAC-адрес устройства очень не удобно.
Есть конечно ARP-таблица, но тут MAC-адреса только тех устройств, которые успешно подключились. И почему-то MAC-адрес телефона, который указан тут не всегда соответствует MAC-адресу, под которым его видит службы аутентификации и межсетевого экрана.
Статистика трафика такая маленькая, потому что целенаправленно переустановил систему на межсетевом экране.
Именно тут нужно добавлять пользователя, чтобы он получил доступ в интернет. Нажимаем кнопку Добавить и выбираем пункт Пользователь.
Если у вас в настройках Прокси-сервера будет указана авторизация только по IP, тогда логин и пароль тут указывать не обязательно. Это кстати очень глупо реализовано, так как прокси-сервер будет при каждом открытии браузера на компьютере пользователя просить ввести логин и пароль. Это не безопасно во всех 100% случаев, так как либо эти логины и пароли будут на бумажке у монитора, либо эти пароли не будут регулярно меняться. Третьего варианта не дано, и это понимает любой специалист по информационной безопасности, который работал в крупной компании. Гораздо удобнее интеграция с AD.
В общем, мне лично кажется более удобным и безопасным использовать авторизацию по MAC-адресу. Добавляем пользователя, потом нужно будет отредактировать его и добавить MAC-адрес.
Привязываем MAC-адрес к пользователю. Можно добавить сразу несколько MAC-адресов. Главное потом перейти во вкладку Правила и ограничения.
Тут нужно задать правила и ограничения для пользователя. Можно разрешить ходить в интернет только через Прокси. Вам, как администратору своей сети и автору политики безопасности нужно самостоятельно решить какие правила должны быть.
Следует отметить, что функциональность авторизации по MAC-адресу и добавление правил для отдельных пользователей реализована очень удобно и мощно. Этот механизм работает как надежные швейцарские часы.
В бесплатной версии Lite недоступны Garnet и SkyDNS. Первое отключается сразу после активации лицензии на бесплатную версию, а SkyDNS работает еще 35 дней (пробный период).
Однако, тут можно добавить свой список плохих IP-адресов и доменных имен. Плохо только то, что в том же pfSense можно указать URL-адрес такого списка и он будет обновлять его сам. Тут этот список можно только ручками добавить и это плохо, так как IP-адреса и домены, с которых совершаются зловредные действия часто меняются.
К слову, мне не очень понятна интеграция именно Garnet и SkyDNS, так как их профиль не фильтрация контента, а безопасные DNS с фильтрацией плохих адресов. Чем они лучше бесплатных DNS от Яндекса, которые предоставляют тоже самое? Ничем, еще и платные. Куда логичнее и эффективнее было бы увидеть списки от AdGuard.
Прочие возможности вкладки Пользователи.
Удобные инструменты для тестирования сети, которые сейчас есть даже в дешевых роутерах.
Межсетевой экран. Вкладка правила открывается очень долго, хотя загрузка ЦП и ОЗУ в этот момент минимальная. Интерфейс добавления правил очень удобный.
Пятка Ахиллеса Интернет Контроль Сервера в журналах. Если что-то блокирует один из компонентов, то найти об этом запись невозможно. Во вкладке События только информация о добавлении правил и запуске службы. В поисках этой информации прошел по всем вкладкам и кнопкам, но так и не нашел. Это очень серьезный недостаток.
Есть блокировка по геолокации. Очень востребованная функциональность. Большое количество массовых сканирований и скрипт-кидди атак идёт именно из Китая.
Правила межсетевого экрана.
Прочие сетевые настройки.
ARP-Таблицу уже показывал.
Прокси-сервер.
Настройки прокси-сервера. Следует отметить, что даже если создать самоподписанный сертификат, указать в пункте "Сертификат для HTTPS фильтрации" и добавить его в качестве доверенного корневого центра сертификации в систему и в браузер, то все равно браузер не будет открывать страницу, ссылаясь на то, что эти сайты не должны быть подписаны таким сертификатом.
Также стоит поставить галочку "Использовать антивирус ClamAV", хотя у меня сложилось впечатление, что он в данном межсетевом экране не работает совсем.
Антивирус ClamAV включен и обновлен.
Настройки ClamAV.
ClamAV, включен и обновлен. Включено использование в прокси-сервере в антивирусе и в самом прокси-сервере, но создается такое впечатление, что в Интернет контроль сервере он не работает совсем.
Тестовый вирус eicar открывается в браузере без проблем, скачивается в любых расширениях, хотя если загнать данный файл в virustotal, то все антивирусные движки назовут его вирусом, включая движок ClamAV.
Есть Web Application Firewall, но он скорее символический, как и в usergate. Он вроде какие-то опасные HTTP-запросы блокирует, но эти запросы он же сам и сгенерировал. Это хорошо для защиты обычных компьютеров, как дополнительная защита, но для защиты веб-сервера этот компонент практически бесполезен.
Система обнаружения и противодействия вторжениям Suricata. Ругается на отдельные правила от PT и Snort (их можно отключить), которые поставляются из дефолтных наборов правил.
Можно указать конкретные интерфейсы, но разницы не будет.
Тут можно выбрать наборы правил. Очень хорошо, что можно выбрать зеркало правил Snort, так как из России они недоступны напрямую. Если успеть скачать правила для Suricata от Касперского, то они будут работать и далее, но обновлений не будет.
Можно заметить правила от Positive Technologies, но эти бесплатные правила не обновляются с 2018 года.
Есть известный набор правил Emerging Threats, который сейчас есть во всех свободных и бесплатных межсетевых экранах.
Тут можно включить наборы правил IDS/IPS.
Журнал IDS. Я не утверждаю, конечно, но кажется IDS не работает, или не записывает события в журнал. Даже если отключить все правила от PT и Snort журнал не начинает наполняться событиями.
Я хорошо знаком с набором правил от Emerging Threats, так как каждый межсетевой экран с этим набором правил ругался на широковещательные запросы от вышестоящего роутера, но тут ничего. Либо не работает журнал, либо не работает Suricata.
Контент-фильтр. Можно добавить свой список слов.
Fail2ban - действительно полезная штука, которая блокирует при попытках перебора. В других межсетевых экранах есть аналоги, но не сам Fail2ban. Интересно, почему? Fail2ban ведь распространяется по лицензии GNU GPL v2.
Раздел сертификатов один из самых мощных и удобных, что я когда либо видел.
Полный список разделов вкладки Защита.
Раздел Файловый сервер. Один мой товарищ оценит подраздел Веб.
Раздел Почта.
Раздел Jabber. Сейчас во многих фирмах есть свои внутренние чаты, поэтому данный функционал весьма кстати.
Раздел Телефония О_о. Очень неожиданно, но такой функционал безусловно серьезное преимущество.
Раздел Обслуживание.
Вывод
Интернет Контроль Сервер очень продуманный и мощный межсетевой экран, но при этом в нем очень много косяков и недоработок. Отсутствие даже базовой технической поддержки у бесплатной версии не позволяет им получить обратную связь, чтобы допилить свой продукт.
Скорее всего они считают, что он готов к массовому коммерческому применению, но это не так. Возможно, я открою секрет, но все ищут продукт, который уже сейчас готов и его нужно только купить. К сожалению, Интернет Контроль Сервер после покупки нужно будет допиливать, и очень многим проблемам техническая поддержка будет советовать сменить отдельные части аппаратного обеспечения. Это обусловлено использование ОС FreeBSD, а не их нежеланием помочь.
К сожалению, он основан на операционной системе FreeBSD, а это означает большие проблемы с поддержкой всех PCI, PCI-E и прочих периферийных устройств. Практически невозможно подобрать Wi-Fi карту, которая бы стабильно работала и позволяла подключиться с любых устройств.
У меня так и не получилось настроить перехват трафика в прокси-сервере, чтобы браузеры не ругались на поддельный сертификат.
Во всех журналах нет полезной информации - только информация об изменении тех или иных настроек, правил. Нет информации о сработках и блокировках. Во всех свободных межсетевых экранах можно посмотреть что было заблокировано межсетевым экраном, но не здесь.
Система обнаружения вторжений тоже вызывает множество сомнений, касательно её работоспособности.
ClamAV не блокирует eicar, что также заставляет усомниться в том, что он вообще работает.
При этом, хочу отметить, что это очень интересный и мощный межсетевой экран. Если бы не было проблем с Wi-Fi адаптерами, то я бы его оставил, надеясь на то, что он просто не записывает в журнал.
Интерфейс очень удобный, а некоторые реализации просто заставляют снять шляпу и аплодировать стоя.
Следует констатировать, что для межсетевого экрана с поддержкой Wi-Fi лучше выбрать IPFire (ссылка), в котором нет такого красочного интерфейса, но там всё просто работает из коробки.
