Как я боролся с Ideco UTM и его применимость в СМБ

Обсуждение вопросов связанных с шлюзом безопасности Ideco UTM. Технические вопросы пользователей, новости от разработчиков, анонсы, обсуждения недокументированных особенностей.

Модератор: administrator

Как я боролся с Ideco UTM и его применимость в СМБ

Сообщение Александр_Ц » 08 ноя 2019, 14:18

Запускаем Ideco UTM в SMB сети
Имеется 1 процессорный сервер, и целых 8 ГБ памяти ( больше никак , ибо чипсет не позволяет)
На этом живет ESX гиппервизор и сервер 2003 ( 3.5 Гб занимает оперативы)
План таков
Ставим Ideco UTM в лицензия SMB, переназначаем шлюз в DHCP на него, и будет нам защищенное счастье. :D
Это план , а реалии оказались не столь радостными:
Стать то оно встало, а потом началось:

1.Приятный сюрприз №1
Это " песня", SSE 4.1 ему не кошерно ? Оно конечно , где то в системных требованиях предупреждали, но кто и когда смотрел на эти SSE? Есть и есть.. :D

Итак, отчетов не будет , забыли ( и на двухпроцессорном серваке не будет, а на самосборе с АМД FX будет, красивые но на первый взгляд бесполезные, но будут :(

2. Неожиданность №2
А что с предотвращением вторжений ? Их нет. или не настроены ?

Говорит не достаточно памяти , нужно 7680 MB

Даем памяти сколько просит 7680 MB

Не помагает , не работает .Почему?

А потому, что видит то 7494 , а использует 3395 МБ
Даем еще , то есть 8200 Мб
Видит 8000 , а использует аж 4277 (!)
-
Но сервис запустился!Базы обновились. Ура!
ESX - молодец, распределяет память между конкурирующими машинами, но временами тормоза наблюдаются.
3. Сюрприз №3
Когда же IDECO UTM заблокировал пользователю Яндекс в Мозилле, то руководство приказало заблокировать сам IDECO UTM. :D

Вот такие они крутые руководители сектора SMB. :D
Блокировка доступа клиентов произошла вот почему: Сменился IP адрес клиента DHCP сервером не Ideco. шлюз изменения не заметил , ну и не пустил никуда и никого, что тоже мило. ;)
То есть нужно иметь второй , запасной шлюз , переназначаешь Ip если что ручками ? :D

У меня же следующие вопросы:
1. Что за бзик с выбором команд SSE, почему 4.2, почему не сразу 5, или 6 , чтобы не мелочится?
2. Какой мудрый человек додумался столь вольно обозначать минимальные пределы ресурсов памяти ?
Более здравые параметры позволили бы успешно совместить вышеупомянутые виртуальные машины, особенно учитывая малое количество и низкую активность пользователей в этой микрорганизации? 8ГБ-3.5Гб= 4.5Гб , легко понижается 3.5 до 2.5 и получаем уже 5.5 можно на Ideco выделить чистыми, с учетом расшаренной памяти ESX можно и до 6.5 Гб выделить.
Столько Шлюз не затребовал ни разу ?
3. Думается , что блокировка пользователя - это ЧП, шлюз должен бы известить и о событии и о причине такового, дать возможность в считанные минуты устранить невозможность доступа , не нарушая общую политику , иначе он критично не пригоден для СМБ, гадать же какой модуль и почему заблокировал вполне легальный ресурс , времени нет.
А так ни почты , ни яндекса, ни интернета вообще - жизнь дала трещину. :?
И эти приключения при 5-10 юзерах :!:
Отличная просто необходимая фишка: сброс пароля администратора на дефолтный, web интерфейс периодически не пускал, и измененный аккаунт не принимал , за нее отдельное спасибо.

С уважением...
Александр_Ц
Пользователь
 
Сообщения: 3
Зарегистрирован: 08 ноя 2019, 13:20

Re: Как я боролся с Ideco UTM и его применимость в СМБ

Сообщение ideco.dmitriy » 08 ноя 2019, 21:35

Добрый день!
Как вы понимаете, современные требования к модулям глубокого анализа трафика не позволяют использовать полноценное UTM решение на серверах с недостаточными системными ресурсами.

По-порядку отвечу на ваши вопросы.

1. Сервер БД, который мы используем для статистики очень эффективно использует новые (хотя не такие уж и новые - команды анонсированы в 2006-ом году, а в процессорах появились более 10 лет назад) команды. Их использование позволило в 20 раз увеличить скорость обработки запросов.

2. В документации мы указываем, что нельзя использовать динамическую память в гипервизорах. Как раз по этой причине. Службы не будут запускаться, если текущая выделенная память для сервера ниже определенных пределов.
Эти ограничения сделаны для не допущения нарушения работы других жизненно важных для сервера служб в случае работы в условиях недостаточной памяти.
По-простому говоря если убрать эти ограничения, то в определенный момент времени сервер может вообще прекратить обработку трафика из-за недостатка ресурсов базовым службам.

3. Ideco UTM предоставляет доступ в сеть только авторизованным пользователям.
В данном случае он не блокировал существующих пользователей, а не авторизовал новых для него (которых он не знал из-за изменившихся IP-адресов).
В обычных ситуациях используют динамические способы авторизации пользователей, например через Active Directory (но в бесплатной редакции этот модуль не доступен).
В вашем же случае можно либо использовать DHCP-сервер на Ideco UTM и авторизовать пользователей по IP+MAC (тогда для них будет создана автоматическая привязка адреса в DHCP). Либо с помощью функции массового создания пользователей создать их для всего диапазона IP-адресов вашей локальной сети.
Аватара пользователя
ideco.dmitriy
Админ всея сети
 
Сообщения: 2090
Зарегистрирован: 11 мар 2014, 08:43

Re: Как я боролся с Ideco UTM и его применимость в СМБ

Сообщение Александр_Ц » 08 ноя 2019, 22:50

Уважаемый. то все понятно, но реалии жизни вот такие
Про память , понятно, но задирать почти в 2 раза , пожалуй , слишком перестраховка ? При выделенных 8,2 Гб , шлюз реально потреблял 4,2 с уже запущеннонной системой Предотвращения вторжений и обновленными базами
О пользователях : все странно.
Пользователи и были зарегестрированы , и мас адреса были привязаны. Потом меняется IP , (mac тот же), а Шлюз этого не замечает, а замечает лишь чужого , неизвестного юзера и блокирует, хотя юзер из локальной подсети, свой, и должен был быть снова авторизован по mac или ip ? Тем более , что МАС шлюзу уже известен.
Сейчас же логично убрать мас адреса из Ideco и пусть авторизуются как гости из локальной сети.
И и самое не приятное, о причинах недоступности интернета, шлюз умолчал - это я чуть погодя вычислил причину.
Ситуация выглядела так , что вчера вечером Яндекс был безопасным , а с утра уже нет. Так сисадмины и пострадать могут :)
Нужна кнопка пропустить данного пользователя , не взирая, пусть на пару часов , на определенные критичные ресурсы, но немедленно , тут же! :D
Александр_Ц
Пользователь
 
Сообщения: 3
Зарегистрирован: 08 ноя 2019, 13:20

Re: Как я боролся с Ideco UTM и его применимость в СМБ

Сообщение ideco.dmitriy » 09 ноя 2019, 17:56

Авторизация по IP+MAC предусматривает возможность авторизации устройства только с данной комбинацией IP и MAC-адреса.
Соответственно если IP у пользователя меняется, он не будет авторизован.
Также если вы не включали возможность автоматического создания пользователей ("Поиск устройств"), то не настроенные в Ideco UTM устройства со своими IP-адресами сами авторизовываться на UTM не будут.

Вообще говоря авторизация по IP и MAC-адресу это именно авторизация устройств. Чтобы говорить об авторизации пользоватлей, нужно применять авторизацию через WEB либо Active Directory.
Аватара пользователя
ideco.dmitriy
Админ всея сети
 
Сообщения: 2090
Зарегистрирован: 11 мар 2014, 08:43

Re: Как я боролся с Ideco UTM и его применимость в СМБ

Сообщение Вячеслав85 » 12 ноя 2019, 11:40

Александр_Ц писал(а):Запускаем Ideco UTM в SMB сети
Имеется 1 процессорный сервер, и целых 8 ГБ памяти ( больше никак , ибо чипсет не позволяет)
На этом живет ESX гиппервизор и сервер 2003 ( 3.5 Гб занимает оперативы)
План таков
Ставим Ideco UTM в лицензия SMB, переназначаем шлюз в DHCP на него, и будет нам защищенное счастье. :D
Это план , а реалии оказались не столь радостными:
Стать то оно встало, а потом началось:


Дело было не в бабине.
Все таки юзать требования ниже минимальных и прийти на форум разрабов, это удел альтернативных. :lol:
Вячеслав85
Пользователь
 
Сообщения: 1
Зарегистрирован: 12 ноя 2019, 11:37

Re: Как я боролся с Ideco UTM и его применимость в СМБ

Сообщение Александр_Ц » 14 ноя 2019, 20:28

Может я не совсем четко изложил? :)
Ну тогда для "альтернативных" и ироничных уточняю, что дело как раз в "бобине".
Итак , при имеющемся лимите памяти сервера , мы видим, что Ideco весьма вoльно обращается с ней. Ему выделено 8.2 Гб, сколько нужно по техтребованиям, в разделе "системные ресурсы" шлюз видит где то до 8, а использует лишь 4.2 Гб. Кстати, при 12гб он пользует лишь 7.969 Гб. При этом обновление баз , запуск сервиса Предотвращения вторжений происходит при установке обьема видимой Шлюзом памяти выше заданного программистами, т.е. > 7.68 ГБ , , что означает выделение реальных 8.2.
Если Вы скажете , что нужно ему столько, то я попрошу обьяснить почему после запуска и обновления баз , оно вполне себе работает и при снижениии объема выеляемой памяти ниже 7Гб ?
Таким образом, для работы ему столько не нужно, а нужно проограммисту из каких то ему известных соображений, согласен, скорее всего весьма обоснованных, но кто важнее ? Клиент, готовый мирится с некоторыми тормозами из за того , что сервак у него такой, или разработчик, завысивший системные требования ? А еще есть SWAP. который не столь страшен при использовании SSD диска, чипсет то ограничивает опреативную память , а диски добавлять не мешает ? :) А есть еще кэширование ESX, позволяющеее достаточно благополучно и в меру безболезненно преодолевать недостаток оперативки :D :D
Александр_Ц
Пользователь
 
Сообщения: 3
Зарегистрирован: 08 ноя 2019, 13:20


Вернуться в Шлюз безопасности Ideco UTM 7.x

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 1