Технические характеристики Ideco ICS 3.0
Система базируется на ядре Linux из ветки 2.4. Дистрибутив создан с учетом всех требований системы. Принципиальное отличие – деление системы на изменяемую и константную (immutable) части. Система изначально построена так, что в ней невозможно изменить файлы, которые не должны меняться. То есть, даже если предположить возможность проникновения хакеров в систему, хакер не сможет изменить ни один системный файл, даже имея полные права в системе (root).
В Ideco ICS имеется модуль постоянного слежения за системой. Если какие-либо параметры работы системы выходят за определенные рамки, то система сама пытается предотвратить перегрузку сервера. При загрузке, система проверяет все параметры оборудования, состояние файловой системы и баз данных. Проверяется контрольная сумма всех неизменяемых файлов.
Вся информация о пользователях хранится в базе данных Firebird (Open Source реализация Interbase). Транзакционный подход обеспечивает стабильность хранения данных. База данных Firebird обеспечивает необходимую скорость работы и надежность хранимых данных.
В Ideco ICS предусмотрена система резервного копирования на компакт-диски, FTP-сервер или общие папки Windows. Производится резервное копирование базы данных, конфигурационных файлов и, опционально, каталогов, укзанных пользователем. Система может работать в автоматическом режиме, в том числе записывать и перезаписывать компакт диски с резервными копиями.
На выбор предоставлено несколько вариантов авторизации пользователей: авторизация по VPN PPTP, PPPoE, авторизация по IP, авторизация через IdecoAgent, авторизация IP+IdecoAgent, авторизация через WEB, авторизация через WEB+IP. Наиболее безопасным вариантом является подключение клиентов по технологии VPN, подразумевающей криптостойкое шифрование передаваемых данных. Таким образом, трафик абонентов не может быть перехвачен или подставлен (spoofing) другими абонентами из локальной сети. Используемая при этом технология NAT исключает возможность подключения к компьютерам пользователей из сети Интернет.
Для подключения серверов можно убрать NAT для соответствующих учетных записей и использовать реальные IP-адреса.
Система построена так, что для каждого пользователя выделен персональный (и закрепленный за ним) IP-адрес. Таким образом, пользователь может выходить в Интернет с любого компьютера локальной сети, и учет трафика будет производиться только по этому пользователю.
Система хранит детализированную статистику каждого пользователя и каждой группы. В любой момент времени можно посмотреть, какие ресурсы Интернет посещал пользователь или вся группа. Информация агрегируется и сохраняется на лету.
Пользователи через web-интерфейс могут проверить баланс счета, тарифный план, изменить пароль, активировать карты оплаты, просмотреть статистику.
Администрирование системы производится через современный web-интерфейс, основанный на технологии AJAX, который позволяет создавать, удалять, редактировать пользователей, тарифые планы, Firewall, просмотривать статистику, редактировать сайта, настраивать и управлять сервисами и службами и многое другое.
Редко используемый функционал и обслуживание сервера доступно из локальной консоли.
Для управления пользователями, тарифными планами и Firewall можно использовать программу Ideco ICS Manager. Web-интерфейс содержит большинство возможностейи Ideco ICS Manager'а и локальной консоли и является основным средством администрирования.
В систему встроена возможность удаленного управления по протоколу SSH. Также есть возможность подключиться по VPN из Интернет. При этом появляется возможность использовать локальную сеть из дома или командировки, а также управлять сервером с помощью ICS Manager’а.
В систему встроен Firewall, который позволяет запрещать или разрешать определенные виды трафика, базируясь на протоколе и номерах портов.
В Ideco ICS 3.0 доступен новейший контентн-фильтр, позволяющий управлять доступом к сайтам определенных категорий.
В системе также имеется встроенная электронная почта. Для каждого пользователя системы может быть организован персональный почтовый ящик. Вся почта, приходящая на Ideco ICS проверяется встроенным антивирусом ClamAV, либо DrWeb и проходит тройную антиспам-обработку (предварительный спам-фильтр Ideco, DSPAM, DrWeb Antispam). Есть возможность включить автоматическое обновления антивирусных баз.
Объединение сетей может производится с помощью создания виртуального CIPE-туннеля через Интернет. CIPE работает на уровне ядра и поэтому максимально быстр и может обеспечить большую скорость прохождения трафика через него. Туннель является шифрованным, таким образом, гарантируется, что передаваемая по нему информация не будет перехвачена третьими лицами.
Встроенный DHCP сервер позволяет быстро развернуть систему в новой сети.
В Ideco ICS используется система автоматического обновления, которая позволяет своевременно исправлять ошибки и обновлять функционал. Все загружаемые файлы проверяются электронной цифровой подписью, что гарантирует целостность и подлинность загружаемых данных. Системный администратор будет оповещен при установке, плановых перезагрузках, выходе новых версий, а также будет получать отчет об установке очередного обновления. Существует возможность посмотреть изменения в новых версиях.
Безопасность и защита сервера
Значительно расширены стандартные механизмы защиты Linux:
- Все сетевые службы помещены в клетки chroot, нарушение безопасности одной службы не приведет к уязвимости сервера. Используется усиленный, по сравнению со стандартным chroot, и даже суперпользователь не может покинуть такой chroot.
- Запрет исполнения файлов с разделов с данными.
- Запрет монтирования новых файловых систем.
- Запрет монтирования proc.
- Максимальное ограничение возможностей (capabilities) для всех служб и процессов.
- Система обнаружения и уничтожения exploit в ядре.
Усиленная схема защиты позволяет защитить систему даже от уязвимостей, которые могут обнаружены в будущем в Linux. Использование уникальных механизмов безопасности позволяет назвать Ideco ICS одним из самых защищенных и надежных серверов на сегодняшний день.
Компоненты
Ниже перечислены основные Open Source компоненты, входящие в состав Ideco ICS 3.0:
- agrstatd 1.0
- apache 1.3.41
- clamav 0.95.3
- clamsmtp-1.10-1.i386.rpm
- courier-authlib 0.58
- courier-imap 4.1.1
- cyrus-sasl 2.1.22
- db 4.8.24
- db_extender 1.0
- db_updater3 3.3.0
- dhclient 3.0pl1
- dhcp 3.0pl1
- dialog 0.9b
- drvinfo 1.0
- dspam 3.8.0
- fetchmail 6.2.5
- freeradius 1.1.7
- hping 2.0.0
- hping3 20051105
- ibpp 1.1.8.0
- interbase 1.0.3
- iptables 1.2.9
- iptraf 3.0.0
- jabberd 2.2.9
- jit 1.2.1
- ldap_authd 2.5.8
- ldap_sync 2.5.3
- libc-client 2002e
- libgsasl 1.2
- libidn 1.15
- libmcrypt 2.5.7
- libmhash 0.9.1
- libusb 0.1.12
- libxml2 2.6.28
- ming 0.2a
- mini_httpd 1.19
- msmtp 1.4.0
- mysql 5.0.67
- net-snmp 5.4.2.1
- ntp 4.1.1c
- nut 2.4.1
- php 5.1.2
- postfix 2.1.5
- pptp 1.7.0
- pptp_cisco_bugfix 1.7.0
- pptpd 1.2.1
- rp-pppoe 3.5
- rsyslog 2.0.6
- samba4wins 1.0.7
- squid 2.5.STABLE10
- teapop 0.3.8
- thttpd 2.25b
- trafshow 5.2.3
- tray_srv 3.0.0
- udns 0.0.9
- vsftpd 1.1.3
- winbind 3.0.23c
- wpa_supplicant 0.6.9
Некоторые параметры Ideco ICS 3.0
Параметр |
Значение* |
Погрешность определения момента срабатывания лимита при достижении порога отключения |
Не более 1,5 Кб (один IP-пакет) |
Интервал обновления статистики |
В ядре real-time, интервал синхронизация с БД 100 сек |
Интервалом агрегации детализированной статистики пользователей (src-dst) |
30 мин |
Открытые порты на внешнем интерфейсе |
все порты по умолчанию закрыты |
Открытые порты на внутреннем (локальном) интерфейсе |
22, 25, 80, 1723 |
Открытые порты на защищенном интерфейсе |
22, 25, 80, 110, 53, 3050 (только для администраторов) |
Максимальное количество зарегистрированных пользователей в БД |
Ограничивается только лицензионным соглашением |
Поддерживаемое шифрование VPN канала |
без шифрования, 40, 56 и128 бит mppe. По умолчанию шифрование включено |
Погрешность определения стоимости трафика (при цене 1 у.е./1 Мб) |
0,005% |
Максимальное время потери информации о трафике при внезапном отключении питания |
не более 100 сек |
Время существования установленного VPN-соединения |
не ограничено |
Количество одновременно установленных VPN-соединений |
2048 |
Время задержки пакетов в обычном режиме работы |
<= 1 мс |
Время задержки пакетов
при 100% загрузке канала, при
включеном QoS |
<=
2 мс |
*Значения некоторых параметров могут изменяться в зависимости от конфигурации.
|
