Компания Ideco из Екатеринбурга обновила дистрибутив Internet Control Server

Валерий Коржов, Computerworld Россия 

Екатеринбургская компания Ideco выпустила третью версию своего дистрибутива Linux ICS, предназначенного для создания корпоративного Internet-шлюза. Ideco ICS базируется на ядре Linux 2.4, в которое для обеспечения безопасности внесены существенные модификации. В комплект поставки также входит подборка специально скомпилированных для этого ядра приложений и единая система управления всем программным обеспечением шлюза. На текущий момент Ideco ICS предыдущих версий уже используют 4,5 тыс. клиентов в России, Китае и Германии. 

Установив компьютер с Ideco ICS на канал подключения к Internet, клиент должен получить возможность защитить свою локальную корпоративную сеть от атак извне и от спама, управлять эффективностью использования канала, а также создавать VPN-соединение с другими сегментами корпоративной сети. 

Для обеспечения безопасности и повышения надежности ядра Linux разработчики Ideco убрали из своего продукта поддержку модулей ядра - все драйверы статически встроены в ядро. Для каждого сетевого приложения с помощью механизма chroot выделяется свой фрагмент файловой системы. В дистрибутив входит специальное приложение, которое следит за работоспособностью сетевых сервисов шлюза. Для управления правами доступа к приложениям в ядре Ideco ICS используются механизмы разделения полномочий. 

Наиболее сильной модификации подверглась виртуальная файловая система, которую разработчики Ideco разделили на три сегмента: немодифицируемый, модифицируемый и временно модифицируемый. В первом разделе хранятся приложения и библиотеки, во втором - системные журналы, данные пользователей и приложений, а в третьем - конфигурационные файлы программ. При этом запуск программ из модифицируемого раздела запрещен. Обновление приложений происходит только при перезагрузке компьютера, когда сетевое соединение с ним установить невозможно. Впрочем, в третьей версии предусмотрена система автоматического обновления, которая упрощает механизм установки обновлений и не требует перезагрузки. По задумке разработчиков такая модификация файловой системы эмулирует работу с памятью в аппаратных шлюзовых продуктах. 

Набор приложений, входящих в дистрибутив, стандартен для шлюзовых решений: это межсетевой экран, NAT, VPN, почтовый сервер с антивирусной защитой и спам-фильтром, DHCP, DNS, FTP, Web-сервер и ряд других. При выборе приложений разработчики дистрибутива отдавали предпочтение российским решениям. Так, в качестве антивируса используются продукты "Лаборатории Касперского" и Dr. Web, а для проверки на спам можно последовательно запускать три фильтра - предварительной обработки, dspam и коммерческий продукт Dr. Web Antispam. Для фильтрации URL используется база проекта "Режик". 

Используются в шлюзе и разработки самой Ideco. Например, ПО для организации VPN, в котором применен собственный протокол, способный обеспечить связность сети даже на медленных и неустойчивых каналах. Немало внимания разработчики Ideco уделили интерфейсу Web-управления, который базируется на технологии AJAX и позволяет централизованно настраивать все шлюзовые механизмы защиты и мониторинга, входящие в дистрибутив. Для улучшения надежности продукта компания в процессе разработки проводила нагрузочное тестирование всех поставляемых приложений, приспосабливая их к высоким нагрузкам. 

На текущий момент есть установки Ideco ICS в сетях провайдеров, где через него одновременно работает до 4 тыс. пользователей. Продукт имеет две редакции (Standard и Enterprise Edition) и два типа лицензирования - по количеству одновременно работающих пользователей или по общему количеству пользователей. Ideco ICS распространяется через партнеров, которых у компании насчитывается более 270. 

Дистрибутив является платным, и исходные тексты можно посмотреть не для всех его компонентов. Так, версия Standard на десять пользователей обойдется почти в 9 тыс. руб. В эту стоимость входит техническая поддержка, в том числе и с помощью специального сервиса под названием "Удаленный помощник", который позволяет сотрудникам компании удаленно по сети решить возникающие на устройстве проблемы.