Лабораторная работа №1
Тема: «Установка и первоначальная настройка»
Цель работы:
Получить начальные знания и базовые навыки по установке и настройке межсетевого экрана Ideco NGFW. Эти действия способствуют подготовке к его интеграции и использованию в инфраструктуре организации.
Топология:
Таблица адресации:
Оборудование, ПО:
¾ ПЭВМ;
¾ веб-браузер;
¾ справочная литература или доступ в сеть Интернет.
Идея выполнения работы:
В ходе данной лабораторной работы необходимо изучить системные требования для установки межсетевого экрана Ideco. Зарегистрироваться в личном кабинете MY.IDECO, чтобы получить доступ к загрузочному образу и ознакомиться с его возможностями. Скачать образ и установить Ideco NGFWна виртуальную машину, работающую на платформе Альт Виртуализация PVEили аналог (Proxmox VEили VirtualBox). Выполнить первоначальную настройку и базовое ознакомление с интерфейсом Ideco NGFW.
Содержание:
Часть 1. Изучение системных требований для работы с Ideco NGFW.
Часть 2. Обзор возможностей MY.IDECO. Регистрация, загрузка образа Ideco NGFW.
Часть 3. Настройка гипервизора. Установка Ideco NGFW на виртуальную машину.
Часть 4. Работа с локальной консолью Ideco NGFW. Создание пользователя и настройка локального интерфейса.
Часть 5. Доступ к веб-интерфейсу Ideco NGFW. Обзор основных модулей.
Порядок работы:
Часть 1. Изучение системных требований для работы с Ideco NGFW.
Межсетевой экран Ideco NGFW - современное отечественное (российское) программное решение для защиты сетевого периметра, обеспечивающее полный контроль доступа в интернет, делая его управляемым, безопасным и надежным. Данное решение входит в реестр российского программного обеспечения Минцифры Российской Федерации и имеет запись в Едином реестре российских программ для электронных вычислительных машин и баз данных № 329 от 08.04.2016.
Для начала работы с межсетевым экраном Ideco NGFW необходимо ознакомиться с минимальными системными требованиями, которые представлены в таблице ниже (согласно официальной документации). Минимальные системные требования предлагаются из расчёта обслуживания небольшого количества авторизованных субъектов безопасности (до 50):
Помимо минимальных системных требований, важно также соблюдать ряд обязательных условия для работы с Ideco NGFW:
¾ обязательная поддержка UEFI;
¾ для виртуальных машин необходимо использовать фиксированный, а не динамический размер хранилища и оперативной памяти (исключением является — использование в лабораторных и тестовых целях);
¾ должен быть отключён режим Legacy загрузки, он может называться CSM (Compatibility Support Module);
¾ должна быть отключена опция Secure Boot в UEFI.
Для максимальной производительности виртуальной платформы рекомендуется:
¾ режим работы кэша виртуального диска: writeback. Хранилище должно гарантировать сохранность данных после завершения команды фиксации кэша;
¾ настроить паравиртуализованный источник энтропии (Random Number Generator (RNG));
¾ настроить паравиртуализованные часы и таймер;
¾ убедиться, что виртуальные процессоры, использующиеся для виртуальной машины, располагаются на одной физической NUMA-ноде;
¾ гипервизор с аппаратной виртуализацией (вложенная виртуализация не требуется).
Частота процессора, а также объем и частота ОЗУ сервера сильно зависят от нагрузки, возлагаемой на Ideco NGFW. При подсчете нагрузки нужно выделить два фактора:
¾ задействованные компоненты NGFW (Контроль приложений, Прокси с его сервисами, проверка трафика на спам/вирусы, обширность настройки модуля Контентной фильтрации или Файрвола);
¾ система предотвращения вторжений - при скорости подключения к провайдеру от 100 Мбит/cэта служба может потребовать значительных ресурсов процессора и памяти. Рекомендуется использовать многоядерные процессоры (4 и более ядер с частотой более 3 ГГц) и от 16 ГБ оперативной памяти.
При туннелировании по типу site-to-site с небольшим количеством соединений (от 3 до 5) рекомендуем использовать процессор с меньшим количеством ядер, но с большей частотой. Если Ideco NGFW планируется использовать как VPN-сервер для S2S и C2S с большим количеством соединений, то лучше выбрать процессор и с большим количеством ядер, и с большей частотой. Это обусловлено тем, что соединения могут распределяться по ядрам.
Для оптимального выбора аппаратной платформы стоит обратить внимание на рекомендации по подбору оборудования для Ideco NGFW. Примеры типовых конфигураций, которые зависят от количества пользователей, представлены ниже в таблице и относятся ко всем функциональным возможностям продукта Ideco NGFW:
Примерный объем необходимого места на диске для хранения статистики веб-отчетности для 1000 пользователей за 1 год составляет 10–15 ГБ. Рекомендуем использовать серверные SSD с технологией защиты от сбоев питания. Например, Kingston DC1000B (SEDC1000BM8/240G).
Часть 2. Обзор возможностей MY.IDECO. Регистрация, загрузка образа Ideco NGFW.
Чтобы начать работать с Ideco NGFWнеобходимо получить и загрузить установочный образ. Получить загрузочный образ нужно из личного кабинета MY.IDECOдоступного по https://my.ideco.ru. Зарегистрировавшись на MY.IDECOпоявится возможность управления лицензиями и скачивать загрузочные образы всех продуктов, разрабатываемых компанией Ideco.
MY.IDECO– это личный кабинет, который предоставляет следующие возможности:
¾ управлять лицензированием серверов;
¾ скачивать дистрибутивы;
¾ привязать телеграм-аккаунт для получения уведомлений о состоянии работы серверов;
¾ добавить компании в учетную запись для управления лицензированием;
¾ добавить пользователей в компанию для управления лицензированием;
¾ настроить авторизацию через социальные сети.
¾ Выполнить вход (регистрацию) в личный кабинет MY.IDECO:
Далее необходимо заполнить форму регистрации и нажать «Зарегистрироваться»:
После входа доступ в личный кабинет будет выглядеть следующим образом:
После успешной авторизации в личном кабинете MY.IDECO необходимо перейти в левом боковом меню на вкладку NGFW, после чего нажать на раздел Скачать, выбрать необходимую версию межсетевого экрана Ideco NGFW или иного продукта Ideco и нажать на кнопку Скачать, после чего будет выполнено скачивание установочного образа (в данном случае образ ideco-ngfw-19-5-19-release):
Помимо возможности загрузки актуальных версий различных продуктов Ideco, личный кабинет MY.IDECO позволяет пользователю получить информацию:
¾ об имеющихся лицензиях (раздел Лицензирование);
¾ о сроке окончания подписки на обновления модулей и технической поддержки:
Помимо предоставления пользователю описанной выше информации, личный кабинет MY.IDECO позволяет пользователю получить следующий функционал:
¾ Telegram-бот (модуль Monitoring Bot):
Ideco Monitoring Bot присылает уведомления о событиях в Ideco NGFW (уведомления из колокольчика). Бот может отправлять оповещения:
¾ в личные сообщения;
¾ в беседы, где 2 и более пользователей (groups).
Модуль Security в личном кабинете пользователя MY.IDECO:
Security – это онлайн-сервис для проверки защиты сетевого периметра, оценки текущего уровня защиты и возможности повышения уровня защиты. Сервис проверит:
¾ есть ли доступ через используемый браузер к сайтам из 15 потенциально опасных категорий;
¾ возможность проникновения тестовых образцов вирусов и эксплойтов;
¾ открытые порты и ответы сервисов на внешнем интерфейсе вашего интернет-шлюза;
¾ торренты, скачанные из сети за последний месяц;
¾ есть ли ваш IP-адрес в черных списках зараженных хостов;
¾ наличие пароля к почте в известных базах данных хакеров.
Модуль Компании в личном кабинете пользователя MY.IDECO:
Раздел содержит информацию о пользователях, добавленных в компанию, и настройки компании.
Часть 3. Настройка гипервизора. Установка Ideco NGFW на виртуальную машину.
Настройка гипервизора Альт Виртуализация PVE полностью аналогична Proxmox:
¾ нажать Создать ВМ (Create VM), введите имя машины:
¾ в разделе ОС выберать хранилище и заполните поля указав:
o ISO-образ - образ с нужной версией NGFW;
o Гостевая ОС: Тип - Linux; Версия - 6.х - 2.0 Kernel;
¾ в разделе Система заполнить поля:
o BIOS - OVMF;
o хранилище EFI - хранилище для UEFI-диска;
o Предварительная загрузка ключей - отключить опцию;
¾ в разделе Диски указать нужный размер диска (не меньше 150 ГБ) и выбрать хранилище для NGFW:
¾ в разделе Процессор указать количество сокетов и ядер (от четырех ядер) и выбрать тип, который поддерживает SSE 4.2:
¾ в разделе Память укажите объем оперативной памяти (не менее 16 ГБ):
¾ в разделе Сеть в поле Сетевой мост выбрать сетевой мост, отключить опцию Сетевой экран:
¾ проверить заданную конфигурацию виртуальной машины:
В результате созданная виртуальная машины имеет следующие характеристики:
Для установки Ideco NGFWна созданную виртуальную машину необходимо перейти в раздел Консоль (Console) и нажать Запустить сейчас (Start Now):
Этапы установки Ideco NGFWна виртуальную машину:
¾ перейти к установке, нажав Install Ideco NGFW:
¾ выбрать диск и ознакомьтесь с предупреждением об уничтожении данных на диске:
¾ выбрать временную зону, в которой находится сервер;
¾ обязательно проверить правильность даты и времени. При необходимости настроить дату и время в соотвествии с временной зоной сервера:
¾ ожидать установку ОС:
¾ нажать любую клавишу для перезагрузки:
¾ ожидать загрузки ОС:
¾ не пытаться выполнить вход вводя какие-либо учётные данные, ожидать доступа к локальной консоли;
¾ ввести с клавиатуры «n» для отказа настройки данной инсталляции в качестве второй ноды кластера:
Ideco NGFWкорректно установлена на виртуальную машину.
Часть 4. Работа с локальной консолью Ideco NGFW. Создание пользователя и настройка локального интерфейса.
Создание учетной записи администратора (для входа в веб-интерфейс), требования к паролю:
¾ минимальная длина пароля - 12 символов;
¾ содержит строчные и заглавные латинские буквы;
¾ содержит цифры;
¾ содержит специальные символы (! # $ % & ' * + и другие).
После чего выполнить вход из-под только что созданного пользователя:
Далее стоит добавить ещё один сетевой адаптер в виртуальной машине IDC-FWв соответствие с топологией (запомнить его MAC-адрес):
Для настройки Ideco NGFW через веб-интерфейс необходимо настроить локальный интерфейс в локальном меню шлюза:
¾ ввести номер сетевого адаптера MAC-адрес, которого совпадает с MAC-адресом добавленного сетевого адаптера (vmbr1) под локальный интерфейс:
¾ отказаться от настройки локальной сети автоматически через DHCP, введя «n»;
¾ ввести локальный IP-адрес и маску подсети в формате ip/маска и нажать Enter;
¾ ввести адрес шлюза или оставить поле пустым;
¾ задать тег VLAN (стандарт VLAN 802.3q) или оставить поле пустым:
После создания локального интерфейса откроется локальное меню управления сервером:
Ввести с клавиатуры номер пункта «Выход».
Часть 5. Доступ к веб-интерфейсу Ideco NGFW. Обзор основных модулей.
Доступ к веб-интерфейсу Ideco NGFW осуществляется по протоколу https на порт 8443:
Настроить IP-адрес на виртуальной машине IDC-ADMIN в соответствие с таблицей адресации, чтобы появилась возможность подключиться к веб-интерфейсу управления IDC-FW:
¾ перейти в Настройки подключения (нажав в правый верхний угол):
¾ открыть настройки существующего подключения:
¾ на вкладке IPv4 выставить параметры в соответствие с таблицей адресации:
¾ ввести пароль суперпользователя для подтверждения внесённых изменений:
¾ проверить наличие необходимого IP-адреса на интерфейсе:
Для подключения к веб-интерфейсу Ideco NGFW необходимо запустить браузер (современные версии браузеров Firefox, Chrome и браузеров, основанных на Chromium):
Ввести в адресной строке IP-адрес, указанный при настройке локального интерфейса, и порт 8443:
¾ поскольку сертификат на IDC-FW является самоподписанным, а на виртуальной машине IDC-ADMIN данный сертификат не добавлен, необходимо добавить исключение нажав Дополнительные настройки -> Перейти на сайт 10.0.10.1 (небезопасно):
Ввести логин и пароль от учетной записи, созданной при установке NGFW:
Результат успешной аутентификации в веб-интерфейсе IDC-FW c рабочей станции администратора IDC-ADMIN:
После успешной аутентификации в веб-интерфейсе Ideco NGFW должно появиться окно модуля Панель мониторинга. Данный модуль позволяет просматривать информацию о состоянии сервера за определенный промежуток времени (5 минут, час, 6 часов, 1 день, 7 дней), а именно:
¾ основная информация о лицензии:
¾ загрузка процессора:
¾ объём используемой/зарезервированной памяти:
¾ управление модулями фильтрации (можно включить или отключить нужные модули):
¾ загрузка интерфейсов, включая информацию по каждому интерфейсу:
¾ топ 5 хостов (входящая и исходящая скорость):
¾ IPSec (исходящие и входящие):
¾ время работы сервера:
Особенности отображения информации:
¾ график загрузки интерфейсов включает весь трафик Ideco NGFW, в том числе служебный;
¾ при выборе разных промежутков времени, отображаемые максимальные значения на графике могут отличаться;
¾ таблица Топ 5 хостов включает только 5 пользователей с наибольшей скоростью входящего (исходящего) трафика соответственно. При формировании статистики по хостам учитываются протоколы, определенные модулем контроля приложений. При этом не учитывается служебный трафик NGFW.
Далее, раскрывая в левом боковом меню каждый модуль, необходимо ознакомиться с его содержимым:
В рамках базовой настройки Ideco NGFW следует задать устройству имя в соответствии с топологией, выполнить это можно в левом боковом меню нажав на маркер редактировать:
Задания:
1) В личном кабинете MY.IDECO проведите процедуру создания компании, в качестве имени компании используйте следующий шаблон: <ваша_фамилия>.company.
2) Найти возможность проверить связность посредством утилиты ping от IDC-FW к IDC-ADMIN.
3) Зафиксируйте загрузку процессора, занятую оперативную память и время работы вашего сервера Ideco NGFW, используя Панель мониторинга (не средствами гипервизора).
Содержание отчета:
1) Тема и цель работы.
2) Скриншоты с комментариями в процессе выполнения лабораторной работы и обязательно каждого задания.
3) Ответы на контрольные вопросы.
Контрольные вопросы:
1) Каковы минимальные требования к оборудованию для установки Ideco NGFW на виртуальную машину?
2) Почему при настройке виртуальной машины необходимо отключать Secure Boot и использовать фиксированный размер диска и ОЗУ?
3) Какие функции предоставляет личный кабинет MY.IDECO помимо скачивания дистрибутивов?
4) Как можно получить уведомления о состоянии сервера через Telegram?
5) Какие параметры виртуальной машины критически важны для корректной работы Ideco NGFW (BIOS, тип процессора, сеть)?
6) Почему при установке необходимо вручную проверять дату и время перед завершением настройки?
7) Какие требования к паролю администратора предъявляет Ideco NGFW?
8) Как настроить локальный интерфейс вручную, если DHCP недоступен?
9) Как подключиться к веб-интерфейсу Ideco NGFW, если сертификат самоподписанный?
10) Какие данные отображаются в модуле "Панель мониторинга", и как они помогают в администрировании?
Подготовка стенда к Лабораторной работе №1
Необходимые мостовые интерфейсе на уровне гипервизора:
¾ vmbr0 для подключения к сети Интернет;
¾ vmbr1 локальная сеть между рабочей станцией администратора IDC-ADMIN и межсетевым экранов IDC-FW:
В качестве виртуальной машины имитирующей деятельность рабочей станции администратора может выступать любая клиентская операционная система с графическим интерфейсом и установленным браузером (современные версии браузеров Firefox, Chrome и браузеров, основанных на Chromium).
В текущем руководстве в качестве операционной системы на виртуальной машине IDC-ADMINбудет использована Альт Рабочая станция 11 (https://www.basealt.ru/alt-workstation-11).
Необходимые характеристики для виртуальной машины IDC-ADMINдля дальнейшей установки ОС «Альт Рабочая станция 11»:
Процесс установки ОС «Альт Рабочая станция 11» на виртуальную машину:
¾ выбрать Установка ALT Workstation 11.0 x86_64 и нажать Enter:
¾ выбрать язык и удобный вариант переключения раскладки клавиатуры:
¾ прочитать лицензионное соглашение и принять условия:
¾ выбрать регион и корректный часовой пояс:
¾ для экономии дискового пространства и ускорения процесса установки ОС - снять галочки со всех списков дополнительных приложений:
¾ выполнить разбиение диска на необходимые разделы (воспользоваться автоматическим разбиением):
¾ ожидать процесс установки операционной системы:
¾ выбрать устройство для установки загрузчика:
¾ выбрать удобную сетевую подсистему (персонально):
¾ указать пароль для суперпользователя «root»:
¾ указать учётные данные для создаваемого системного пользователя:
¾ завершить установку операционной системы:
¾ ожидать автоматической перезагрузки:
¾ проверить возможность входа из-под созданной учётной записи системного пользователя: