Какими программными средствами организовывается управление безопасностью сервера?

Question

[makerkz]

Доброго вам времени суток.

Вопрос о том, как выбрать сервер будет задан отдельно. Хотя, конечно, здесь бы тоже не мешало покидать ссылок, или сказать, в сторону чего копать.

Есть организация. Планируется закупка серверов для хранения важной информации и (ГЛАВНОЕ) - для раздачи интернета. Сеть будет локальной, но также будут использоваться Wi-Fi роутеры (для близлежащих кабинетов). Соответственно, не хотелось бы, чтобы к сети подключались посторонние личности (контингент посетителей будет состоять из IT-специалистов, то есть очень вероятна возможность взлома даже запароленной сети, но в то же время сеть делать запароленной не хочется, она будет открыта, а вот как будет организовываться безопасность - далее).

Что же требуется? Wi-Fi сеть открыта. У каждого сотрудника есть свои логин и пароль. После подключения к сети и открытия браузера (с абсолютно любого устройства, будь то ноутбук, Android, iOS - девайс) открывается страница с предложением войти с помощью своих логина и пароля. Максимум - 2-3 устройства для одной учетной записи. Для каждой учетной записи должен вестись учёт трафика, ограничение по скорости (в том числе и по достижению лимита), управление девайсами (не суть конечно), должен быть свой личный кабинет с подробной информацией по трафику. Необходимо локальное хранилище файлов. То есть своеобразная сеть для раздачи интернета и локального хранилища внутри довольно-таки большой компании.

Как вы уже поняли - опыт системного администрирования у меня нулевой (по большей части занимаюсь javascript frontend/backend разработкой).

Что бы вы посоветовали? Какие сервера, какая OS? Склоняюсь к Linux (не знаю, какая версия лучше). И самый главный вопрос - какой программный продукт вы бы посоветовали? Для управления всем этим. Изначально предпочтение будет отдаваться Open Source проектам (для старта), или же проектам с пробным периодом. В дальнейшем бюджеты вырастут (когда бюджет утвердят), соответственно будет выбор платных систем (до нескольких тысяч $).

Answer 1

[Игорь]

Минимально это реализуемо, но не из коробки и не в полном объеме (а может и в полном если копнуть глубже).
Делается шлюз выпускающий пользователей в инет. На нем iptables закрывают все порты, а весь трафик для web-портов вроде 80, 8080, 8000 и тп заворачивается на порт проси-сервера.
Прокси-сервер может быть тут же на шлюзе. Может быть на другом сервере или виртуалке. Например squid. К нему можно прикрутить и черные\белые списки и антивирус и еще кучу политик. Проблема в том, что для обработки им https трафика нужно его собирать руками с нужным модулем и прописывать руками прокси в браузере пользователя(возможно это сейчас пофикшено). К нему есть плагины для демонстрации статистики (не в отдельных личных кабинетах, но хотябы общей). К нему можно прикрутить авторизацию и даже авторизацию из AD. Если к этому добавит еще SAMS будет наверное более функционально (вот пример статьи о чем идет речь: habrahabr.ru/post/199302/).
Ключевые слова для вас если вы новичек: iptables, squid, sams.
Рекодмендую когда получите сервер, поднимать на нем виртуализацию. Все пробовать поднимать на виртуалке. Ее бекапить, чтобы если что установилось\скомпилировалось неудачно можно было откатиться. Для шлюза с прокси она много места не займет.

Comments

[makerkz]

Сейчас нашел интересный продукт - UserGate. Интересно было бы узнать, есть ли подобное под Linux?

Answer 2

[Валентин]

Ну реально вопрос выглядит так: я ни разу не готовил есть, но хочу на обед первое, второе и третье, а еще хочу завтрашний ужин. Что мне купить, и сделать, чтобы наесться и чтобы ничего не испортилось. Почитайте кулинарную книгу или сходите в кафе!

А по теме: нужен iptables, прямые руки и голова.

Comments

[makerkz]

Можете посоветовать каких-то конкретных авторов? Какие книги почитать. Максимум с чем я сталкивался, так это поднятие облачного сервиса на Диджитал Оушен. Во многих университетах стоит такая система, насколько я знаю - то есть открытый Вай-Фай, и у каждого студента свои логин и пароль. Должно же быть какое-то программное средство - веб-интерфейс? Веб-приложение наподобие Redmine.

[Валентин]

@makerkz Если только защита wi-fi-я, навряд ли найдешь бесплатные решения с графическим интерфейсом. А так, если самому, вот habrahabr.ru/post/170949 я писал, как это делается на основе wi-fieв, а еще почитай в сторону wi-fi hotspot. Но, если опыта в админке нету, это будет очень долго и больно.

[makerkz]

Бюджет на софт будет достаточно большой. Какие есть не бесплатные варианты? Очень понравилось UserGate. Что вы можете посоветовать?