Подписаться  на наше издание быстро и дешевле чем где-либо Вы можете прямо сейчас! Подписаться! 


Являясь полнофункциональной и универсальной ОС, Linux в то же время часто становится основой для специализированных решений, таких, например, как учет и управление интернет-трафиком.

 

Люди и технологии

 

ИДЕЯ СПЕЦДИСТРИБУТИВА, решающего вопросы доступа к интернету, не нова: picoBSD, m0n0wall, дальше — Clark Connect, IPCop или даже Slackware. Конечно, каждый из них предоставляет свой набор сервисов. Интерфейс администратора тоже колеблется от терминала telnet/ssh или webmin до заказного вэб-интерфейса, построенного на XSLT/PHP. На этом фоне новый дистрибутив из России, IDECO Internet Control Server, выделяется несколькими уникальными возможностями.

Это не просто маршрутизатор и фаервол — речь идет о деньгах. Иными словами, речь идет о тарификации, контроле и учете, а также об отчетах и соответствующих оргвыводах.

Ясна и целевая аудитория: мини-провайдеры, "гетерогенные" организации с множеством отделов или подразделений. Это может быть офис нескольких компаний, государственная организация, студенческий кампус, домашняя сеть или любое сообщество, где каждый платит (отчитывается) за внешний трафик.

Вопрос тарификации — не такой простой, как может показаться. Конечно, придется учитывать передаваемые пакеты, закрывая и открывая порты согласно выбранной политике. Но это не значит, что вы можете просто "привязаться" к компьютеру по IP- или MAC-адресу: это значительно ограничивает мобильность пользователей, связывая одного пользователя с одним компьютером, и наоборот. Кроме того, придется раздавать статические IP-адреса или делать DHCP принудительным, а это неправильно. Вместе с тем стандартные механизмы учета/фильтрации не могут и не должны оперировать ничем, кроме заголовков IP-пакета, таких как IP-адрес отправителя, тип сервиса или порт назначения.

Выход из этой ситуации есть, и он используется в IDECO Control Server. Главный принцип заключается в том, чтобы использовать динамические вторичные адреса VPN для установления особых каналов связи клиентских ПК с сервером. Первичные IP-адреса, получаемые интерфейсами при загрузке системы, с точки зрения доступа во внешнюю сеть (интернет) не имеют никакого значения: они будут находиться в другой подсети, для которой доступ запрещен. То же относится и к незаконно присвоенным адресам: VPN для операционной системы является отдельным интерфейсом, который не запустится без аутентификации пользователя. Поскольку VPN является разновидностью PPP, это подключение можно сравнить, например, с дозвоном к провайдеру через модем. Теперь VPN IP-адрес "привязывается" к пользователю: хотя эта технология была известна и раньше, IDECO Control Server делает все нужные настройки естественным путем. В частности, VPN-адреса можно назначать пользователю статически или через DCHP на VPN-интерфейсе. Кроме того, канал VPN зашифрован, что позволяет надежно передавать критические данные. Кстати, в дистрибутиве присутствует как открытый (бывший) код, так и фрагменты коммерчески защищенного кода от IDECO Software. Еще одна уникальная возможность IDECO ICS — инструмент администрирования. Это не очередное вэб-приложение с ограниченной функциональностью, это полноценное десктоп-приложение для Windows, быстрое, полнофункциональное и надежное. Цена продукта высокая, но достаточно гибкая — на основе числа подключаемых пользователей, а уменьшение затрат на тарификацию почти до нуля должно оправдать коммерческое использование.

 

Системные требования, инсталляция и конфигурация

 

Все начинается с коробки, которая, кстати, выглядит весьма респектабельно. В ней содержится DVD-бокс, в котором, однако, обнаруживается обычный CD, стостраничное руководство пользователя, техническое руководство по установке, проспект компании и даже набор визитных карточек, начиная от директора. Системные требования — скромные, но современные, и это правильно, поскольку есть разница между "загрузиться" и "работать". Что касается процессора, то его класс — Pentium III 800MHz или выше, 256 Мб памяти, 4 Гб на жестком диске, две сетевые карты. Две карточки, разумеется, являются основой политики безопасности и обеспечения принудительного VPN.


Инсталляция проходит в текстовом режиме, что логично для "полевого" дистрибутива. Представлено несколько простых диалогов, самым загадочным из которых является "Измеряется скорость жесткого диска". Затем — выбор диска, форматирование, копирование. Беглый осмотр модулей в ядре в режиме скроллинга показывает, что какая-то фирменная статистика действительно присутствует. Пароль по умолчанию — servicemode. В этом месте инсталляция заканчивается. После первой загрузки вы попадаете в консоль администратора SAFEMODE. Нас интересует, разумеется, Конфигурирование Сервера, а именно указание внешнего и внутреннего адреса, внешнего маршрута, а также настройки DNS.


Адрес VPN менять не рекомендуется, это совершенно не важно — VPN не конфликтует с физическими сетями. Кроме того, важно не пропустить пункт Дополнительные настройки: там много возможностей по режимам доступа, в том числе доступ к серверу по ssh и удаленное управление.

 

Подключените клиентов VPN и портал пользователей

 

Теперь, когда сервер готов отвечать на наши запросы, можно проверить подключение. Сконфигурируйте интерфейс рабочей станции так, чтобы адрес был в одной подсети с сервером. Например, если сервер имеет адрес 10.0.0.1/24 по умолчанию, то адрес компьютера может быть 10.0.0.2/24. Соединение, как обычно, проверяется пингом сервера. Фаервол и прокси отключаются, поскольку защитой теперь будет заниматься сервер доступа. Фактически после настройки нужно оставить открытыми только порты 1723, 3050 и протокол GRE. Теперь вам доступен портал пользователей вашей подсети — он находится на сервере на порту 80, вы можете просто ввести этот адрес в браузере. Портал пользователя состоит из двух областей — открытой и частной, которая доступна только уже подключившимся к VPN клиентам.

 

В общей части пользоватли могут почитать новости, скачать файлы автоматической настройки VPN, посмотреть тарифы и так далее. В частной, закрытой области, куда пользователь попадает только введя пароль, он может узнать свой текущий баланс, также там есть разные личные настройки. После того как вы установите настройку VPN, необходимо повторно подключиться к нашему серверу, теперь уже по защищенному каналу. При этом должны быть видимыми адреса 10.128.0.0 (сам сервер), и, если он подключен к интернету, то и ваш внешний адрес, шлюз провайдера и все остальные. Проверка напоминает прозвон электронной схемы по контрольным точкам: собственно, это и есть электронная схема.

 

Администрирование: учет и контроль

 

Для ясности техническую часть настоек, доступную из локальной алфавитно-цифровой консоли, будем называть "конфигурацией", а управление тарификацией и получение статистики — "администрированием". Так вот, администрирование производится из специального приложения для MS Windows — Ideco ISC Manager. Это приложение находится на том же инсталляционном диске, с которого устанавливается и сам сервер. Это самое главное, смысл всего начинания — отделить смысловую нагрузку от технического обслуживания. Администратор — обычный пользователь, подключенный через VPN и знающий пароль, не более того. Более того, главный администратор может назначать администраторов отдельных групп и так далее. Не будем вдаваться в тонкости  тарификации: понятно, что есть некоторые тарифные планы, которые могут быть приписаны отдельным пользователям или их группам.

 


По мере истечения определенной суммы на счету сначала пользователь будет получать уведомления, а потом и вовсе будет отключен: все это настраивается достаточно тонко. Кроме статистики, доступна интегрированная электронная почта, настройки фаервола, а также автоматическое формирование отчетов по расписанию. Одним словом, перед нами — мощное настольное приложение на основе базы данных Ibase (с открытым кодом), работающее с "живыми" сведениями о статистике подключений. То, что администрирование по умолчанию можно производить только внутри сети по защищенному каналу, кажется вполне логичным: вэб-приложения были и еще долго будут уязвимыми.

 

Профиль продукта: чем больше плюсов, тем лучше

 

+ + + + + + + + Социальная значимость. Программа в основном предназначена для государственных организаций, которые очень развиты в Росси, и которые, надеемся, когда-то появятся и у нас. Также это хороший инструмент для домашних сетей. Наконец, этот сервер позволяет разделять скоростные подключения с помегабайтной оплатой.

 

+ + + + + + + + Безопасность. Везде, где удалось посмотреть, все максимально закрыто. Единственное, в чем нет уверенности, — это возможность неавторизованного доступа к базе данных внутри VPN. Пароли к БД предоставлены в открытом виде, и нет штатных средств их изменить. А статические пароли — хорошая почва для разработки.

 

+ + + + + + + + Стоимость владения. Кроме совершенно необходимых одноразовых настроек, система работает в практически необслуживаемом режиме: даже резервные копии на CD максимально облегчены. Стоимость владения может резко возрасти, если вы захотите внести какие-то заказные улучшения: вероятно, нарочитая закрытость системы — это способ выкачивания дополнительных денег.

 

+ + + + + + Окупаемость. Подчас важнее предотвратить неконтролируемые утечки трафика, столь распространенные в гетерогенных организациях.  Поэтому программа создана с целью не так приносить деньги, как предупреждать их утечку, а также сделать использование трафика эффективным при фиксированном бюджете. Правда, целенаправленное коммерческое использование тоже не исключено.

 

+ + + + + + Системные требования. В общем, система не очень требовательна. Нельзя утверждать наверняка, но есть подозрение, что разбивка жесткого диска не совсем оптимальна, отчего "гуляет" до половины его объема. Хотя это свойство присуще многим системам. Также не совсем справедливыми являются и другие требования, в частности, к скорости жесткого диска, да и минимальный объем оперативной памяти завышен приблизительно вдвое. Наблюдаются и другие последствия проектирования методом Cut&Paste, без реальных замеров.

 

+ + + + + + Администрирование. Конечно, при достаточных ресурсах администратор ICS может и не быть техническим специалистом. Но для организаций средней руки, а также, например, в домашних сетях, sysadm будет также заниматься и управлением пользователями. И с большой вероятностью можно сказать, что этот человек не будет находиться под MS Windows. Поэтому логичным было бы наличие переносного клиента, например, под Qt, Tk/Tcl, Java или в виде вэб-интерфейса.

 

+ + + + Инсталляция. Инсталляция осуществляется быстро и сравнительно просто, хотя и не без недоработок: диалоги без выбора, ненужные сообщения и так далее. Существенным недостатком является настройка сетевых интерфейсов при первой перезагрузке: все известные дистрибутивы делают это еще на этапе установки. Возникающие ошибки, снабженные раздражающими звуками, могут ввести в заблуждение относительно несуществующих проблем.

 

+ + + + Гибкость конфигурации. К сожалению, повышенная забота об администраторе ограничивает возможности примитивным courses-интерфейсом в ограниченном sudo-пространстве команд. Это легко исправить при физическом доступе. В существующем интерфейсе использование площади диалогов малосодержательно, не поддерживаются семантики типичных операций. Раздражает запрет на конфигурацию с одной сетевой платой: можно было бы назвать это Trial Mode, отключив внешний интерфейс. Кстати, если уж рабочая среда chroot только для чтения, то почему бы не монтировать ее на Live CD? Конечно, вся эта система "просится" быть выполненной в стиле Knoppix/DSL, с красивыми графиками и так далее.

 

+ + + + Цена. Стоимость лицензии достаточно гибкая — на основе числа подключаемых пользователей. Вместе с тем полная коммерциализация подобной программы выглядит несколько насильственной. Ведь, следуя лицензии, большинство существенного кода можно использовать бесплатно. Было бы логичнее предложить какую-то ограниченную версию без поддержки и более серьезные версии с поддержкой и настройкой — платно.

 

+ + Расширяемость. Хотя система и декларируется как "вэб-сервер, почта и фаервол", мы не рискнем говорить о настройке полноценного вэб-сервера в той минималистической sudo-среде, которая является родной для данной системы. Под большим вопросом, например, установка альтернативных серверов БД, систем КМС, Apache/Tomcat, cpanel и прочих надстроек, необходимых для полноценной доставки вэб-приложений.

 

+ + Открытость кода. Когда вы разрабатываете ПО на базе открытого кода, то у вас два выбора: передавать и дальше открытый код, точнее, "сделать его доступным для потребителей и не препятствовать дальнейшему распространению", либо же использовать сокрытие кода и платить лицензионные отчисления всем авторам. В данном случае на коммерческой основе распространятся и модифицированные модули, без исходных файлов. При этом фигурирует волшебная формулировка: "Все стороннее ПО распространяется бесплатно". А как же быть с исходным кодом? Где по ядру Linux проходит та черта, за которой начинается ваша собственность? И, наконец, как обстоит дело с коммерческим использованием Open Source?

 

Контакт? Есть и контакт

 

в заключение надо сказать, что сайт компании-производителя — ideco-software.ru. Помимо всего прочего, с него можно скачать полную 70-дневную версию, посмотреть прайсовую стоимость, ознакомиться со списком клиентов.

2006.05.12
19.03.2009
В IV квартале 2008 г. украинский рынок серверов по сравнению с аналогичным периодом прошлого года сократился в денежном выражении на 34% – до $30 млн (в ценах для конечных пользователей), а за весь календарный год – более чем на 5%, до 132 млн долл.


12.03.2009
4 марта в Киеве компания Telco провела конференцию "Инновационные телекоммуникации", посвященную новым эффективным телекоммуникационным технологиям для решения задач современного бизнеса.


05.03.2009
25 февраля в Киеве компания IBM, при информационной поддержке "1С" и Canonical, провела конференцию "Как сохранить деньги в условиях кризиса?"


26.02.2009
18-19 февраля в Киеве прошел юбилейный съезд ИТ-директоров Украины. Участниками данного мероприятия стали ИТ-директора, ИТ-менеджеры, поставщики ИТ-решений из Киева, Николаева, Днепропетровска, Чернигова и других городов Украины...


19.02.2009
10 февраля в Киеве состоялась пресс-конференция, посвященная итогам деятельности компании "DiaWest – Комп’ютерний світ" в 2008 году.


12.02.2009
С 5 февраля 2009 г. в Киеве начали работу учебные курсы по использованию услуг "электронного предприятия/ учреждения" на базе сети информационно-маркетинговых центров (ИМЦ).


04.02.2009
29 января 2009 года в редакции еженедельника "Computer World/Украина" состоялось награждение победителей акции "Оформи подписку – получи приз!".


29.01.2009
22 января в Киеве компания "МУК" и представительство компании Cisco в Украине провели семинар для партнеров "Обзор продуктов и решений Cisco Small Business"

 

 
 
Copyright © 1997-2008 ИД "Комиздат".