Интернет Контроль Сервер
Интернет Контроль Сервер
Категория: Железо Теги: Межсетевые экраны Опубликовано: 20 апреля 2024

Обзор Интернет Контроль Сервер Lite

Решил опубликовать обзор одного интересного и бесплатного отечественного межсетевого экрана Интернет Контроль Сервер - Lite. Ограничения - до 9 пользователей, нет Антивируса и антиспама Касперского, нет контент-фильтров SkyDNS и Garnet, а также правила для Surcata от Касперского доступны только в коммерческих лицензиях.

Для того, чтобы его получить необходимо запросить через их официальный сайт дистрибутив (ссылка) и нажать на кнопку Скачать, которая откроется форму заявки с обязательным полем телефон. Не бойтесь заполнять. Перед тем, как отправить дистрибутив вам позвонят и поинтересуются по целях использования их продукта. Это логично, так как в форме заявке не указывается, что вы хотите использовать дома, а количество пользователей еще ни о чем не говорит. Если в имени указать в скобках "Для дома", тогда никто звонить не будет - просто сразу вышлют ссылку.

В общем, заполняем заявку, после звонка нам отправят ссылку на дистрибутив и с него можно будет установить межсетевой экран Интернет контроль сервер. После установки он попросит заполнить анкету и выбрать версию (trial, платная или бесплатная). Не думая выбирайте бесплатная, а пока вашу заявку на бесплатную версию не подтвердят активируется пробная версия. Пока работает пробная версия нужно успеть скачать правила для IDS Suricata от Касперского, так как в бесплатной версии они будут недоступны. Контент-фильтры можно сразу отключить, так как в lite версии они работать не будут.

Интернет Контроль Сервер базируется на операционной системе FreeBSD, что гарантирует большое количество проблем совместимости с большинством существующего железа. Если нужно реализовать именно межсетевой экран без дополнительного оборудования, вроде w-fi карт, принтеров и любого другого дополнительного оборудования, тогда он отлично подойдёт. Дело в том, что wi-fi карту, которая будет работать без проблем на FreeBSD найти практически невозможно, даже если выбирать по списку поддерживаемого аппаратного обеспечения на сайте FreeBSD. Даже если wi-fi карта указана там, как поддерживаемая, она либо будет регулярно отваливаться из системы, либо будут проблемы с подключением к ней с мобильных телефонов. Такие проблемы будут наблюдаться во всех межсетевых экранах, которые основаны на FreeBSD. Если требуется на этом же устройстве реализовать Wi-FI, тогда лучше выбрать межсетевой экран, который основан на Linux - там все эти дополнительные устройства будут работать идеально из коробки.

Вернёмся к Интернет Контроль Серверу. Интернет Контроль Сервер появился в 2003 году. На первый взгляд он выглядит очень качественно, но при тщательных проверках в разных виртуальных средах и на физическом аппаратном обеспечении становится ясно, что большая часть функций во время всех указанных тестов просто не работает.

К слову, хочу написать вам пароль администратора по умолчанию recovery, так как это не указано у них в документации - только в текстовом документе к образу виртуальной машины, но если ты его не скачивал, то и не узнаешь. 

Вход в веб-интерфейс

Также хочу отметить, что веб-интерфейс доступен по порту 81, то есть в браузере набирать https://IP_Адрес:81.

Мониторинг процессора и ОЗУ

Для него минимальным объёмом ОЗУ является 4 гигабайта, и если сравнивать его с другим межсетевыми экранами, то не очень понятна его прожорливость. При одном активном пользователе используется 73% оперативной памяти (4 гигабайта), когда в pfSense и OPNsense при большем количестве пользователей показатели использования ОЗУ ниже, а IPFire вообще только нюхает ОЗУ. При этом, во всех указанных МЭ были максимальные настройки и максимальное количество списков для блокировки, тогда как в интернет контроль сервере еще ничего не успел включить.

Хочу сразу прояснить свою позицию - мне межсетевой экран Интернет Контроль Сервер Lite понравился и даже пытался найти решение проблем с поддержкой. Тут следует отметить, что поддержка версии Lite не оказывается совсем, но в данном случае они пошли на встречу и охотно отвечали. К сожалению, общую картину это не изменило, так как проблем и недоработок оказалось слишком много и использовать ИКС оказалось не реационально.

Они придумали гениальный маркетинговых ход - бесплатные версии до 9 пользователей. Это поможет стать им более известными и найти своего потребителя! Поскольку я люблю честность, то и отзыв мой максимально честный, в котором покажу все недостатки, над которыми им предстоит поработать, и искренне надеюсь, что они их исправят!

Мониторинг состояния системы - виртуальная память

Это виртуальная память! Это не оперативная память!

Мониторинг оперативной памяти

А это уже мониторинг оперативной памяти. Съедает якобы приложения. Методом научного тыка смог определить, что от 5 до 7% съедает попытка переподключить отвалившийся USB wi-fi адаптер. К слову, он заявлен разработчиками FreeBSD как поддерживаемый. Еще 8-13% съедает антивирусная проверка при помощи ClamAV в Прокси-сервере, даже если ничего не открывать.

Мастер настройки сети

Первым делом нужно настроить сети, хотя частично вы это сделаете уже при установке. Настраиваются они предельно удобно и функционально.

Это самое удобное меню настройки сетевых адаптеров из всех, что я видел за всю свою жизнь. И тут же можно настроить wi-fi адаптер.

Настройки сетей

Настройки сетей максимально удобные. Можно настроить несколько провайдеров. Очень функционально и удобно. Как можете видеть, у USB-Wi-Fi Кабель отключен, хотя во время создания снимка устройство было подключено. 

Можно набрать в поиске "Список поддерживаемого аппаратного обеспечения FreeBSD" и первые же ссылки покажут поддерживаемые устройства, но это всё вилами по воде писано. Есть в википедии удобный список, но это тоже не поможет. Если вам нужен Wi-Fi на межсетевом экране - выбирайте межсетевой экран, который не основан на FreeBSD.

В списке почти все wi-fi адаптеры очень старые и вот так просто в магазине их найти не получится! Я нашел PCI-E карту Asus PCE-N15 (в ней должен стоять поддерживаемый чип) и USB адаптер TP-Link TL-WN821N. PCI-E карта идеально работает с ноутбуками, но телефоны не могут подключиться к ней - сбой аутентификации, хотя пароль правильный. Настройки крутить бесполезно. Пробовал даже отключить сам компонент криптографии (в других межсетевых экранах на FreeBSD) - это не помогло. При этом телефон с Android 4 подключается, но более новые iOS и Android нет. Гибкие настройки разработчика в Android не помогают решить проблему.

С USB Wi-Fi адаптером другая песня! С ним всё работает идеально, все устройства подключаются, но до тех пор, пока он не отвалится из системы. К сожалению, не сохранил ошибку, которую он пишет в консоль. Можно вытащить его и вставить заново через несколько секунд (не сразу), и тогда он опять будет работать, но до тех пор, пока вновь не отвалится. Я пытался менять настройки, но это бессмысленно. Именно эта проблема с TP-Link TL-WN821N наблюдается на OPNsense, pfSense и Интернет Контроль Сервер. Она во всех трех межсетевых экранах одинаковая. Достаточно вставить данный адаптер в Linux или Windows и он перестает отваливаться.

С Wi-Fi картами проблема связана именно с поддерживаемыми чипами, то есть в том списке эта модель заявлена как поддерживаемая, так как в ней должен идти определенный чип, но производитель его поменял навсегда, или в конкретной партии поставил другой чип, и всё, у вас на freebsd карта работать не будет. Получается, что найти поддерживаемую wi-fi карту практически невозможно.

Большинство топовых межсетевых экранов построены на базе FreeBSD. Именно из-за FreeBSD на борту они пытаются продавать свои программные продукты сразу в комплекте с железом, то есть, как программно-аппаратные комплексы, хотя тут дело и в требованиях ФСТЭК.

Монитор соединений

Очень красивый монитор соединений Интернет Контроль Сервера, но полезность его очень низкая, так как тут нет возможности посмотреть MAC-адрес устройства. Фишка в том, что с телефона ты можешь подключиться к Wi-Fi сети, но пока ты не добавишь его в пользователя, в котором есть разрешающие правила, у тебя не будет доступа в интернет. Это правильно и заслуживает аплодисментов, но искать MAC-адрес устройства очень не удобно. И да, на телефонах бывает несколько MAC-адресов, и есть даже функция динамического MAC-адреса.

ARP-таблица

Есть конечно ARP-таблица, но тут MAC-адреса только тех устройств, которые успешно подключились. И почему-то MAC-адрес телефона, который указан тут не всегда соответствует MAC-адресу, под которым его видит службы аутентификации межсетевого экрана.

Пользователи в Интернет Контроль Сервере

Статистика трафика такая маленькая, потому что только установил систему на межсетевом экране.

Именно тут нужно добавлять пользователя, чтобы он получил доступ в интернет. Нажимаем кнопку Добавить и выбираем пункт Пользователь.

Еще немного статистики.

Еще немного статистики, а теперь вернемся к добавлению пользователя.

Добавление пользователя

Если у вас в настройках Прокси-сервера будет указана авторизация только по IP, тогда логин и пароль тут указывать не обязательно. Это кстати очень глупо реализовано, так как прокси-сервер будет при каждом открытии браузера на компьютере пользователя просить ввести логин и пароль. Это не безопасно во всех 100% случаев, так как либо эти логины и пароли будут на бумажке у монитора, либо они будут сохранены в браузере, либо эти пароли не будут регулярно меняться. Другого варианта не дано, и это понимает любой специалист по информационной безопасности, который работал в крупной компании. Гораздо удобнее интеграция с AD.

В общем, мне лично кажется более удобным и безопасным использовать авторизацию по MAC-адресу. Добавляем пользователя, потом нужно будет отредактировать его и добавить MAC-адрес.

Привязываем MAC-адрес к пользователю

Привязываем MAC-адрес к пользователю. Можно добавить сразу несколько MAC-адресов. Главное потом перейти во вкладку Правила и ограничения.

Правила и ограничения для пользователя

Тут нужно задать правила и ограничения для пользователя. Можно разрешить ходить в интернет только через Прокси. Вам, как администратору своей сети и автору политики безопасности нужно самостоятельно решить, какие правила должны быть.

Следует отметить, что функциональность авторизации по MAC-адресу и добавление правил для отдельных пользователей реализована очень удобно и мощно. Этот механизм работает как швейцарские часы.

Application Firewall

В наборах правил можно задать фильтрацию приложений, но она просто не работает. 

Категории для фильтрации

В бесплатной версии Lite недоступны Garnet и SkyDNS. Первое отключается сразу после активации лицензии на бесплатную версию, а SkyDNS работает еще 35 дней (пробный период).

В Интернет контроль сервере можно добавить свой список плохих IP-адресов и доменных имен. Плохо только то, что в том же pfSense можно указать URL-адрес такого списка, и он будет обновлять его сам. Тут этот список можно только ручками добавить, и это плохо, так как IP-адреса и домены, с которых совершаются зловредные действия, часто меняются, а в крупных организациях решает именно оперативность обновления черных списков.

К слову, мне не очень понятна интеграция именно Garnet и SkyDNS, так как их профиль - не фильтрация контента, а безопасные DNS с фильтрацией плохих адресов. Чем они лучше бесплатных DNS от Яндекса, которые предоставляют тоже самое? Ничем, но при это они еще и платные. Куда логичнее и эффективнее было бы увидеть списки от AdGuard.

Настройки Garnet

Также, про эффективность Garnet - континентсвободры.рф он распознавал как медицинский сайт (после отправки отчета исправили), и еще множество сайтов с историей в ~15 лет и индексом качества сайта не менее 50 он просто не распознаёт. От каких векторов атак должен защищать Garnet? От вредоносных сайтов, но он не распознает множество старых сайтов, что тут сравнивать с 10-дневными доменами под фишинг. Из-за этого он не сможет обеспечить защиту от зловредных сайтов.

Прочие возможности вкладки Пользователи.

Прочие возможности вкладки Пользователи.

Инструменты тестирования сети

Удобные инструменты для тестирования сети, которые сейчас есть даже в дешевых роутерах.

Межсетевой экран

Межсетевой экран. Вкладка правила открывается очень долго, хотя загрузка ЦП и ОЗУ в этот момент минимальная. Интерфейс добавления правил очень удобный.

Очень долго может открываться или вообще не открываться вкладка Правила - поддержка сказала, что такое бывает, попробуйте позже. И да, эта вкладка доступна через сеть, и через защиту. Если не открывается, попробуйте по другому пути открыть.

Пятка Ахиллеса Интернет Контроль Сервера в журналах. Если что-то блокирует один из компонентов, то найти об этом запись невозможно. Простой пример, ты подключил компьютер и он получил по DHCP сетевые настройки, но в интернет выйти не может, так как ты не добавил пользователя с этим MAC-адресом и соответствующими разрешающими правилами. Все сетевые пакеты будут заблокированы или отклонены, и ты об этом не узнаешь, так как нет ни единого журнала в веб-интерфейсе, в котором было бы это написано. По этой же причине не мог узнать какое именно действие было произведено с сетевым пакетом - отклонить или заблокировать.

Во вкладке События только информация о добавлении правил и запуске службы. В поисках этой информации прошел по всем вкладкам и кнопкам, но так и не нашел. Это очень серьезный недостаток.

Редактирование локальной сети

Кстати, если включить тут "Разрешить управление ИКС через SSH", то SSH работать всё равно не будет! Даже если включить его в самой консоли управления работать он не будет. SSH оказывается по умолчанию выключен, и включить его может только поддержка через модуль поддержки в вашем межсетевом экране. В чем логика? Не дать любителям бесплатной версии использовать его в организации? Так им будет не трудно клавиатуру подключить. Странная логика.

Блокировка по геолокации

Есть блокировка по геолокации. Очень востребованная функциональность. Большое количество массовых сканирований и скрипт-кидди атак идёт именно из Китая.

Правила межсетевого экрана

Правила межсетевого экрана.

Прочие сетевые настройки

Прочие сетевые настройки.

ARP-Таблицу уже показывал.

Прокси-сервер

Прокси-сервер.

Настройки прокси-сервера, часть 1

Настройки прокси-сервера, часть 2

Настройки прокси-сервера, часть 3

Настройки прокси-сервера Интернет Контроль Сервера Lite. Следует отметить, что даже если создать самоподписанный сертификат,  указать в пункте "Сертификат для HTTPS фильтрации" и добавить его в качестве доверенного корневого центра сертификации в систему и в браузер, то все равно браузер не будет открывать страницу, ссылаясь на то, что эти сайты не должны быть подписаны таким сертификатом.

Также стоит поставить галочку "Использовать антивирус ClamAV", хотя у меня сложилось впечатление, что он в данном межсетевом экране не работает совсем, так как все вариации тестового вируса Eicar открывает без проблем с любыми настройками, тогда как в OPNsense и pfSense он его блокирует без проблем.

Антивирус ClamAV

Антивирус ClamAV включен и обновлен.

Настройки ClamAV

Настройки ClamAV.

ClamAV, включен и обновлен. Включено использование в прокси-сервере в антивирусе и в самом прокси-сервере, но создается такое впечатление, что в Интернет контроль сервере антивирусная проверка ClamAV не работает совсем.

Тестовый вирус eicar

Тестовый вирус eicar открывается в браузере без проблем, даже по http соединению, скачивается в любых расширениях, хотя если загнать данный файл в virustotal, то все антивирусные движки назовут его вирусом, включая движок ClamAV.

WAF

Есть Web Application Firewall, но он скорее символический, как и в usergate. Он вроде какие-то опасные HTTP-запросы блокирует, но эти запросы он же сам и сгенерировал - это запросы с компьютера до веб-интерфейса. Это хорошо для защиты обычных компьютеров, как дополнительная защита, но для защиты веб-сервера этот компонент практически бесполезен. WAF без серьезных обновляемых наборов правил бесполезен.

IDS Suricata

Система обнаружения и противодействия вторжениям Suricata. Ругается на отдельные правила от PT и Snort (их можно отключить), которые поставляются из дефолтных наборов правил. И обратите внимание, что она ругается на синтаксис, но правила эти качаются с зеркала с сайта интернет контроль сервера.

Настройки IDS

Можно указать конкретные интерфейсы, но разницы не будет. Кстати, в документации указано, что должен быть режим IPS, но его нет, только IDS/IPS.

Наборы правил

Тут можно выбрать наборы правил. Очень хорошо, что можно выбрать зеркало правил Snort, так как из России они недоступны напрямую. Если успеть скачать правила для Suricata от Касперского, то они будут работать и далее, но обновлений не будет.

Можно заметить правила от Positive Technologies, но эти бесплатные правила не обновляются с 2018 года.

Есть известный набор правил Emerging Threats, который сейчас есть во всех свободных и бесплатных межсетевых экранах.

В целом, выглядит это круто, но на деле всё очень печально. Правила от Касперского в сертифицированной версии ФСТЭК не поставляются - только бесплатные наборы общедоступных правил западных компаний.

Все правила ничего не стоят. 

Emerging Threats (он же ET Open) бесплатный вариант наборов правил, но у них есть платная версия набора правил, но тут будет только бесплатная.

Правила Snort устарели много лет назад и обновляются чисто символически, так как сейчас все перешли на Suricate.

Правила от Positive Technologies очень интересные, но они не обновляются с 2018 года, и уже точно не будут, так как этот репозиторий github переведён в архивные.

Списки НКЦКИ это просто списки IP-адресов, которые участвуют в атаках, и всё. Эффективность от этого нулевая, так как они очень быстро меняются, а списки эти НКЦКИ рассылает в бумажном виде.

Правила IDS

Тут можно включить наборы правил IDS/IPS. И самое плохое в том, что ты не можешь отключать и включать отдельные правила в этих наборах. Это можно делать даже в полностью бесплатных OPNSense и pfSense, а тут нет.

Журнал IDS

Журнал IDS. Можно легко сравнить наборы правил - ставим в pfsense правила от snort и et open - все, и включаем всё. В pfSense будет большая портянка сработок, а тут ни одной. Один только набор ET Open Info выдаст невероятное количество сработок в любой современной сети. Мне кажется, что журнал, как и SSH по умолчанию выключен, и тут опять же через поддержку нужно просить включить. Даже специально эксплоиты использовал, но никаких сработок в интернет контроль серевере не было, что говорит о том, что IDS тут скорее всего не работает. Пробовал на виртуальной машине, и на физической - везде одинаковая история.

Я хорошо знаком с набором правил от Emerging Threats, так как каждый межсетевой экран с этим набором правил ругался на широковещательные запросы от вышестоящего роутера, но тут ничего. Либо не работает журнал, либо не работает Suricata, хотя скорее всего и то, и другое.

Контент-фильтр

Контент-фильтр. Можно добавить свой список слов, но только в виде текста, то есть нет возможности указать URL-адрес списка.

Fail2ban

Fail2ban - действительно полезная штука, которая блокирует при попытках перебора. В других межсетевых экранах есть аналоги, но не сам Fail2ban. Интересно, почему? Fail2ban ведь распространяется по лицензии GNU GPL v2. 

Я проверять не стал, но может быть стоило? Всё таки все остальные модули работают просто ужасно. Создаётся впечатление, что тут проще перечислить что работает, чем то, что не работает.

Сертификаты

Раздел сертификатов один из самых мощных и удобных, что я когда-либо видел.

Полный список разделов вкладки Защита

Полный список разделов вкладки Защита.

Антивирус ClamAV

Он тут обновляется со своего зеркала, и настраивается очень легко.

Файловый сервер

Раздел Файловый сервер. Один мой товарищ оценит подраздел Веб.

Раздел Почта

Раздел Почта.

Раздел Jabber

Раздел Jabber. Сейчас во многих фирмах есть свои внутренние чаты, поэтому данный функционал весьма кстати.

Раздел Телефония

Раздел Телефония О_о. Очень неожиданно, но такой функционал - безусловно серьезное преимущество.

Раздел обслуживание

Раздел Обслуживание.

Вывод

Интернет Контроль Сервер выглядит, как очень продуманный и мощный межсетевой экран, но при ближайшем рассмотрении создаётся впечатление, что в нем не работает ничего. Отсутствие даже базовой технической поддержки у бесплатной версии Lite не позволяет разработчикам получить обратную связь, чтобы допилить свой продукт. 

Скорее всего, они считают, что он готов к массовому коммерческому применению, но это не так. Возможно, я открою секрет, но все ищут продукт, который уже сейчас готов, и его нужно только купить. К сожалению, Интернет Контроль Сервер после покупки нужно будет допиливать, и очень многим проблемам техническая поддержка будет советовать сменить отдельные части аппаратного обеспечения. Это обусловлено использованием ОС FreeBSD, а не их нежеланием помочь.

К сожалению, он основан на операционной системе FreeBSD, а это означает большие проблемы с поддержкой всех PCI, PCI-E и прочих периферийных устройств. Практически невозможно подобрать Wi-Fi карту, которая бы стабильно работала и позволяла подключиться с любых устройств.

У меня так и не получилось настроить расшифровку SSL трафика в прокси-сервере, чтобы браузеры не ругались на поддельный сертификат.

Во всех журналах нет полезной информации - только информация об изменении тех или иных настроек, правил. Нет информации о сработках и блокировках. Во всех свободных межсетевых экранах можно посмотреть, что было заблокировано межсетевым экраном, но не здесь.

Система обнаружения вторжений тоже вызывает множество сомнений относительно её работоспособности. И ругается на синтаксис дефолтных правил, что вызывает истирический смех.

ClamAV не блокирует eicar, что также заставляет усомниться в том, что он вообще работает.

Даже с отключенными всеми службами он съедает большое количество ОЗУ, и может спокно съесть несколько гигабайт, тогда как pfSense возьмёт не больше гигабайта.

По умолчанию полнсотью отключен SSH, и даже включение его в веб-интерфейсе и в консоли управления не поможет - тут только через модуль поддержки можно решить вопрос (им нужно будет подключиться к вашему межсетевому экрану).

Если пропустить пару версий, тогда он обнаруживает более новые версии, но скачать и обновиться до них не может.

Также есть прикольная ошибка, при которой на WAN интерфейсе могут быть открыты все служебные порты - достаточно при первичной установке с образа диска указать у wan интерфейса такой же адрес, как в вашей lan сети. 

Все указанные ошибки проверил на разных виртуальных машинах и на физическом аппаратном обеспечении. Везде одни и те же ошибки.

Интерфейс Интернет Контроль Сервера Lite очень удобный, а некоторые реализации просто заставляют аплодировать стоя.

Следует констатировать, что для межсетевого экрана с поддержкой Wi-Fi лучше выбрать IPFire (ссылка), в котором нет такого красочного интерфейса, но там всё просто работает из коробки. Если не требуется поддержка Wi-Fi, тогда выберите pfSense (ссылка).

Алексей Черемных
665