Введение. настройка шлюза и прокси сервера на базе clearos 1

Первоначальная настройка сервера

Проверим работу установленного сервера, для чего откроем в браузере адрес. Если видим это сообщение, значит, все в порядке.

А в меню появились дополнительные пункты.

MariaDB

По умолчанию сервис остановлен, запускаем его кнопкой справа, нас попросят установить пароль пользователя, после чего будет доступен phpMyAdmin.

Создание групп пользователей

Пока не созданы группы пользователей, многие функции, как FTP, будут недоступны, переходим «Система – Аккаунты – Группы».

На выбор будет предложено два варианта – LDAP и Active Directory. Поскольку никаких серверов на Active Directory у меня нет, я выбрал первый вариант.

Если у вас стоит сервер с Active Directory, и вы хотите импортировать все права пользователей, то выберите второй вариант, только учтите, что придется прибрести коннектор, который стоит примерно 120 долларов.

Создание сертификата

Открываем «System» – «Security».

Далее нам нужно сформировать самоподписанный сертификат либо загрузить полученный, например, у Let’s Encrypt.

В первом случае заполняем поля собственной организации, на тестовом сервере можно вписать любые данные, во втором случае загружаем ранее полученный сертификат на сервер.

Создание сайта

Можно создать первый сайт. Открываем сервер – «Web server» – и добавляем новый сайт и администратора.

Здесь можно выбрать, разрешено ли пользователю использовать FTP, установить версию PHP, разрешить изменения в .htaccess…

Проверяем корректность работы добавленного пользователя.

Авторизуемся под новым пользователем и проверяем работу FTP.

Backup настроек

Расскажу про backup настроек clearos, так как есть некоторый опыт. Существуют 2 пакета для бэкапа:

1. Configuration Backup and Restore. По-умолчанию уже установлен в системе.
2. Baremetal Backup and Restore. Ставится отдельно из магазина.

Первый позволяет просто сохранить текущие настройки в файл и скачать файл на компьютер. Второй может работать по расписанию и регулярно сохранять backup на флешку. Сам бэкап из себя представляет список пакетов и файлов конфигурации к ним. В общем и целом он нормально работает, я восстанавливал системы, но есть нюанс.

Backup clearos будет работать, только если вы восстанавливаете настройки на ту же версию системы. А версия системы достаточно часто меняется. Простой пример. Вы установили систему и настроили бэкап. Пол года все было нормально, вы регулярно делали бэкапы. Но сервер неожиданно ломается. Вы скачиваете образ с сайта, устанавливаете его, накатываете бэкап, а он вам сообщает, что не может восстановить настройки, так как версия системы отличается.

На ум приходит следующий вариант. Вы ставите сервер и сохраняете образ диска, с которого его ставили. Когда надо восстановить настройки, вы ставите сервер из старого образа и думаете, что все будет нормально. Но опять засада. Во время установки сервер скачивает последние обновления. Этот процесс нельзя ни отменить, ни пропустить. Такая вот загвоздка. Выход только один — держать постоянно актуальную версию системы. Но как я уже говорил, иногда могут возникнуть проблемы после обновления. Хотя у меня они реально были только один раз. Незначительная ошибка, которую я быстро исправил. Но тем не менее. Имейте ввиду такую особенность и решите, как вам лучше бэкапить сервер. Если это будет виртуальная машина, то бэкапить лучше на уровне виртуалки. Как установить шлюз на виртуальную машину, я рассказывал на примере настройки proxmox.

Не буду подробно расписывать, как сделать сам бэкап. Достаточно зайти в меню модуля и кликнуть пару раз мышкой. Там нет ничего сложного.

Настройка proxy сервера

Теперь рассмотрим настройку proxy сервера на clearos. Идем в Marketplace и ставим пакеты Web Proxy Server, Content Filter Engine и Filter and Proxy Report. Первый это прокси сервер squid, второй — контент фильтр dansguardian. Прокси сервер может работать в одном из трех режимов:

1. Transparent Mode + No User Authentication. В этом режиме все http запросы из локальной сети автоматически перенаправляются на порт 3128 прокси сервера с помощью правила на фаерволе. При данной настройке на компьютерах пользователей не нужно делать никаких настроек. Выход в интернет для пользователей полностью прозрачен. Существенный минус такого режима — невозможно проксировать https соединения. А их сейчас все больше и больше. Вы ни статистику по ним не сможете увидеть, ни заблокировать. С учетом того, что сейчас все популярные сайты перешли на https, данный режим работы прокси бесполезен.
2. Non-Transparent + No User Authentication. В данном режиме в браузере пользователя необходимо в обязательном порядке установить адрес прокси сервера, иначе доступ в интернет будет закрыт. Пользователи авторизуются прозрачно, доступ в интернет у всех один и тот же. Возможно блокировать доступ как к обычным, так и https сайтам. Минус этого режима в том, что нет возможности настроить разный доступ разным группам пользователей. Можно либо всем все закрыть, либо всем открыть.
3. Non-Transparent + User Authentication. В этом режиме больше всего настроек. Выход в интернет осуществляется с авторизацией по имени пользователя. Можно настраивать списки доступа для различных групп пользователей. Как и в предыдущем режиме необходима настройка прокси сервера в свойствах браузера. Главным минусом этого режима — после запуска браузера необходимо вручную ввести имя пользователя и пароль для доступа в интернет.

С такими вводными лично для меня является приемлемым только второй вариант работы прокси, на нем я и остановлюсь. Без фильтрации https трафика смысла в прокси нет вообще, а вводить вручную каждый раз пароль логин и пароль, я считаю издевательством над пользователями.

Идем в раздел Gateway -> Content Filter and Proxy -> Web Proxy Server , выбираем режим работы Non-Transparent + No User Authentication. После сохранения страница настроек выглядит следующим образом.

Для запуска Proxy не забудьте нажать Start . После этого прокси сервер будет запущен с заданными параметрами. В данном случае доступ в интернет будет как без прокси, так и с прокси. Если у пользователя в браузере указан адрес прокси сервера, то он будет выходить через прокси, будет логироваться вся его активность в интернете. Если прокси не указан, то доступ в интернет будет прямой. Может кому-то понадобится именно такой режим, можно на этом остановиться. Если мы хотим блокировать доступ к определенным сайтам, то продолжаем настройку.

Maximum Intrusion Protection

The ClearBOX 100 runs an advanced intrusion protection system allowing for maximum protection against global threats.

The Intrusion Detection & Prevention is a cornerstone of security for any size network. The ClearBOX uses the highly regarded Snort engine to perform real-time traffic analysis and packet logging on Internet Protocol (IP) networks. The system can help identify, log and stop (using the IPS plugin) external attack vectors targeting the network (fingerprinting, buffer overflows, brute force authentication etc.). The app contains over 1000 known attack vector signatures with another 12,000+ signatures included with the ClearBOX (with continuous updates) via the IDS update subscription from ClearCenter (app available in the Marketplace, included with ClearBOX).

Системные требования

Требования к аппаратному обеспечению у ClearOS совсем минимальны. Для нормальной работы ей нужно 512 Мегабайт оперативной памяти, любой процессор выше Pentium III и 8 Гб места на жестком диске вашего сервера. Ее можно установить даже на какой-нибудь старый компьютер и сделать из него превосходный домашний сервер. ClearOS имеет как бесплатную версию для сообщества, так и платную с расширенной поддержкой для компаний. Более того, в бесплатной версии вы тоже будете получать все обновления, только они будут не настолько стабильны как в платной. Так что использовать ее можно везде. А теперь перейдем к установке.

New App Released: Attack Detector

Posted

by

on Tuesday, 08 March 2016

in ClearFoundation

The ClearFoundation & ClearCenter are pleased to announce a great new addition to the ClearOS Marketplace. Introducing: Attack Detector.

The Attack Detector app scans your system for authentication failures across various types of services installed on your system. If the failure threshold is reached, the app will block the attacking system. For example, it is a common tactic for spammers to guess a valid username/password combination for sending unsolicited outbound mail. The Attack Detector detects the failed login attempts and actively blocks the spammer.

Multiple apps in Marketplace will provide rule sets for the Attack Detector app, such as the SSH Server app, FTP Server app and more. This app will function as a standalone app, however it may also be combined with the Intrusion Detection System & Intrusion Prevention System apps to provide maximum protection against attacks. 

For more information click here.

Read more…

Начальная настройка шлюза

После установки, первый запуск нас встречает информационной страницей:

Здесь же сделаем первоначальную настройку сетевых интерфейсов. Жмем на ссылку Network Console. Заходим под учеткой root и настраиваем сеть.

Для продолжения настройки clearos необходимо в браузере открыть страницу по ip, указанному в установке. В моем случае это https://192.168.1.101:81. При входе браузер предупредит о недоверенном сертификате. Так и должно быть, все равно переходите на страницу. Вас встречает окно логина в систему.

Вводите указанную при установке учетную запись root. Язык рекомендую везде использовать английский. Во-первых, перевод на русский не очень понятный, во-вторых, все инструкции на английском языке. В рунете нет документации по clearos. Основной источник информации — база знаний и форум на официальном сайте.

Я не буду приводить описание всех шагов настройщика. Остановлюсь только на ключевых. Вам зададут вопрос про Network Mode. Мы настраиваем шлюз, поэтому выбираем Gateway Mode.

Сеть уже настроили. Если ничего менять не надо, то двигаетесь дальше. Потом указываем dns сервер либо вручную, либо, если настройки по dhcp получали, то он уже будет прописан. Дальше выбираете редакцию, в нашем случае Community. Затем надо зарегистрировать установку. Вам нужна учетная запись на сайте clearos. Идите и зарегистрируйтесь. Данные от этого аккаунта нужно будет ввести в регистрации установки.

На следующем этапе устанавливаются обновления. Это не так быстро, придется подождать минут 5-10, пока все установится. Хотя не факт, зависит от скачанного дистрибутива. Дальше указываем имя домена и сервера. Можете писать все, что угодно. Если сервер будет смотреть в интернет и есть доменное имя, можно реальное указать. Если не хочется, то придумайте что-то вроде gate.local.

Потом идет установка времени и самое интересное — выбор дополнительных пакетов. Пока ничего не выбирайте. Будем ставить все необходимое по мере настройки функционала, поэтому выбирайте Skip Wizard.

На этом все, начальная настройка clearos завершена. Можете настроить dashboard так, как вам нравится. Выбирать особо не из чего, поставьте те виджеты, что есть в наличии. Давайте сразу включим DHCP сервер. Идем в раздел Network -> Infrastructure -> DHCP Server и включаем его на локальном интерфейсе:

Настройки можно оставить по-умолчанию, только выбрать диапазон ip, из которого будут выдаваться адреса. Я выбрал 100-254.

В таком виде уже можно подключать устройства в сеть. Они будут получать ip адреса и иметь доступ в интернет.