Ideco Client

Специализированная программа-клиент для управления доступом пользователей в интернет.

Название службы раздела Ideco Сlient: ideco-agent-backend; ideco-agent-websocket. Список служб для других разделов доступен по ссылке.

Использует протокол WireGuard.

Установить программу Ideco Client можно на ОС семейства Windows с 10 версии и новее, а также на MacOS версии 12.7 и новее. На MacOS Ideco Client работает с некоторыми ограничениями.

Ideco Client управляет авторизацией пользователей при подключении к Ideco NGFW из локальной сети и по VPN из внешних сетей. При использовании Ideco Client возможны:

  • Авторизация из локальной сети;

  • Подключение по VPN из внешних сетей;

  • Подключение по VPN из локальных сетей.

Кроме того, Ideco Client собирает информацию о подключающихся устройствах. За счет этого можно задать критерии проверки устройств - HIP-профили, которые используются в правилах Файрвола Ideco NGFW для ограничения или разрешения доступа к ресурсами сети.

С помощью HIP-профилей реализуется ZTNA (Zero Trust Network Access) - технология обеспечения безопасного доступа к сети, основанная на принципе нулевого доверия. ZTNA позволяет контролировать и аутентифицировать устройства пользователей перед предоставлением доступа к ресурсам сети.

Программа должна быть установлена на рабочей станции пользователя.

Порты для подключения, если NGFW за NAT:

  • 80 TCP - для работы сертификатов let's encrypt;

  • 14765 TCP и 3051 UDP - для работы Ideco Client.

Для корректного подключения из внешней сети создайте в разделе Пользователи -> VPN-подключения -> Доступ по VPN правило, разрешающее пользователю VPN-подключение.

Особенности работы Ideco Client

Ideco Client поддерживает обработку запросов с редиректом (статус 302) на сервер Ideco NGFW (Подробнее в RFC-7231). Это позволяет использовать балансировщик VPN-подключений для распределения нагрузки между несколькими Ideco NGFW.

  • Опцией автоматического подключения может обладать только один профиль. При активации опции автоподключения другому профилю у предыдущего автоподключение будет отключено;

  • Чтобы использовать SSO-профиль с включенным автоподключением, необходимо вручную указать доменное имя в поле Хост. Чтобы заранее настроить адрес подключения, воспользуйтесь групповой политикой или запустите файл через командную строку с ключом IdecoAgent.msi utm_address=адрес_ngfw;

  • Ошибка с текстом Неизвестная ошибка возникает при попытке повторной авторизации уже авторизованного по IP пользователя;

  • После каждого обновления приложение Ideco Client запускается автоматически.

Ideco Client также позволяет подключать пользователей локальных сетей по VPN. Для создания VPN-туннеля при подключении из локальной сети активируйте настройку Создавать туннель при подключении из локальной сети в разделе Ideco Client.

При изменении настройки Создавать туннель при подключении из локальной сети разрываются все сессии пользователей, подключенных через Ideco Client из локальных сетей. Повторное подключение к NGFW будет соответствовать новому значению настройки.

При подключении пользователей через Ideco Client информация о сессии появится в разделе Авторизованные пользователи:

При включении опции Показать только VPN-пользователей в таблице отобразится только информация о сессиях пользователей, подключившихся через Ideco Client из внешней сети или из локальной сети с созданием туннеля:

DNS-суффиксы для VPN-подключений по протоколу Wireguard

При подключении пользователей с использованием Ideco Client по VPN есть возможность указать DNS-суффикс для домена, в который введен Ideco NGFW. Для этого перейдите в раздел Пользователи -> VPN-подключения -> Основное, заполните соответствующее поле и нажмите Сохранить:

Ideco NGFW позволяет указать только один DNS-суффикс. Не рекомендуем указывать DNS-суффикс, если Ideco NGFW введен в несколько доменов.

Device VPN

Device VPN - режим работы Ideco Client, в котором клиентское устройство авторизуется на Ideco NGFW без входа пользователя в систему. Такое соединение позволяет:

Для работы Device VPN для клиентов из локальных сетей обязательно включение настройки Создавать туннель при подключении из локальной сети.

Авторизация устройств в режиме Device VPN осуществляется с использованием сертификата и закрытого ключа. На Ideco NGFW необходимо загрузить доверенный сертификат, которым будет подписан сертификат для авторизации устройства. Если для авторизации будет использоваться самоподписанный сертификат (сгенерированный в PowerShell или Openssl), загрузите его в качестве доверенного.

Если для проверки подлинности используется промежуточный сертификат, то на Ideco NGFW нужно загрузить файл, содержащий всю цепочку сертификатов, начиная с корневого. Структура этого файла похожа на структуру файла для загрузки SSL-сертификата на сервер.

Чтобы подключить устройство к Ideco NGFW в режиме Device VPN, выполните действия:

1. В веб-интерфейсе Ideco NGFW перейдите в раздел Пользователи -> Ideco Client.

2. Введите домен или IP-адрес Ideco NGFW, включите настройку Создавать туннель при подключении из локальной сети (если устройства пользователей находятся в локальной сети).

3. Включите настройку Принимать подключения в режиме Device VPN.

4. Загрузите доверенный сертификат в формате .pem и нажмите Сохранить:

5. Перейдите в раздел Пользователи -> VPN-подключения -> Доступ по VPN и создайте правило, разрешающее учетным записям Ideco Device VPN подключение по протоколу Wireguard:

6. Установите Ideco Client на устройство пользователя (Windows, Linux, MacOS).

7. Загрузите на устройство пользователя сертификат и закрытый ключ для авторизации, подписанные доверенным сертификатом.

8. Запустите установленный Ideco Client от имени администратора:

Файл сертификата имеет расширение .pem. Файл хранит в себе сертификат и приватный ключ.

  • Для Windows - откройте командную строку от имени администратора и введите:

<путь до IdecoClient>\IdecoClient.exe --set-devicevpn-cert-path=<путь до файла сертификата> --set-devicevpn-host=<адрес NGFW> --set-enable-devicevpn=True
  • Для Linux и MacOS - откройте терминал и введите:

sudo <путь до IdecoClient>/IdecoClient --set-devicevpn-cert-path=<путь до файла сертификата> --set-devicevpn-host=<адрес NGFW> --set-enable-devicevpn=True

Для вывода заданных параметров в консоль воспользуйтесь командой:

(sudo) <путь до IdecoClient>/IdecoClient(.exe) --print-devicevpn-config=True

Last updated