Ideco Client

Специализированная программа-клиент для управления доступом пользователей в интернет.

Название службы раздела Ideco Сlient: ideco-agent-backend; ideco-agent-websocket. Список служб для других разделов доступен по ссылке.

Использует протокол WireGuard.

Установить программу Ideco Client можно на:

  • ОС семейства Windows с 10 версии и выше;

  • MacOS версии 12.7 и выше. При этом Ideco Client работает с некоторыми ограничениями;

  • Astra Linux 1.7.0 и выше;

  • РЕД ОС 8.0 и выше;

  • Alt OS (Alt Workstation) 9.0 и выше;

  • Fedora 35 и выше;

  • Ubuntu 18.04 LTS (23.04) и выше.

Ideco Client управляет авторизацией пользователей при подключении к Ideco NGFW из локальной сети и по VPN из внешних сетей. При использовании Ideco Client возможны:

  • Авторизация из локальной сети;

  • Подключение по VPN из внешних сетей;

  • Подключение по VPN из локальных сетей.

Кроме того, Ideco Client собирает информацию о подключающихся устройствах. За счет этого можно задать критерии проверки устройств - HIP-профили, которые используются в правилах Файрвола Ideco NGFW для ограничения или разрешения доступа к ресурсами сети.

С помощью HIP-профилей реализуется ZTNA (Zero Trust Network Access) - технология обеспечения безопасного доступа к сети, основанная на принципе нулевого доверия. ZTNA позволяет контролировать и аутентифицировать устройства пользователей перед предоставлением доступа к ресурсам сети.

Программа должна быть установлена на рабочей станции пользователя.

Порты для подключения, если NGFW за NAT:

  • 80 TCP - для работы сертификатов let's encrypt;

  • 14765 TCP и 3051 UDP - для работы Ideco Client.

Для корректного подключения из внешней сети создайте в разделе Пользователи -> VPN-подключения -> Доступ по VPN правило, разрешающее пользователю VPN-подключение.

Особенности работы Ideco Client

Ideco Client поддерживает обработку запросов с редиректом (статус 302) на сервер Ideco NGFW (Подробнее в RFC-7231). Это позволяет использовать балансировщик VPN-подключений для распределения нагрузки между несколькими Ideco NGFW.

  • Опцией автоматического подключения может обладать только один профиль. При активации опции автоподключения другому профилю у предыдущего автоподключение будет отключено;

  • Чтобы использовать SSO-профиль с включенным автоподключением, необходимо вручную указать доменное имя в поле Хост. Чтобы заранее настроить адрес подключения, воспользуйтесь групповой политикой или запустите файл через командную строку с ключом IdecoAgent.msi utm_address=адрес_ngfw;

  • При попытке повторной авторизации пользователя, который уже авторизован по IP, появляется предупреждение:

  • После каждого обновления приложение Ideco Client запускается автоматически.

Ideco Client также позволяет подключать пользователей локальных сетей по VPN. Для создания VPN-туннеля при подключении из локальной сети активируйте настройку Создавать туннель при подключении из локальной сети в разделе Ideco Client.

При изменении настройки Создавать туннель при подключении из локальной сети разрываются все сессии пользователей, подключенных через Ideco Client из локальных сетей. Повторное подключение к NGFW будет соответствовать новому значению настройки.

При подключении пользователей через Ideco Client информация о сессии появится в разделе Авторизованные пользователи:

При включении опции Показать только VPN-пользователей в таблице отобразится только информация о сессиях пользователей, подключившихся через Ideco Client из внешней сети или из локальной сети с созданием туннеля:

DNS-суффиксы для VPN-подключений по протоколу Wireguard

При подключении пользователей с использованием Ideco Client по VPN есть возможность указать DNS-суффикс для домена, в который введен Ideco NGFW. Для этого перейдите в раздел Пользователи -> VPN-подключения -> Основное, заполните соответствующее поле и нажмите Сохранить:

Ideco NGFW позволяет указать только один DNS-суффикс. Не рекомендуем указывать DNS-суффикс, если Ideco NGFW введен в несколько доменов.

DNS-запросы при VPN-подключении через Ideco Client

При подключении к Ideco по VPN через Ideco Client DNS-запросы могут не проходить, если выбран тип передачи маршрутов Отправлять только указанные сети. При выборе Отправлять маршруты до локальных сетей Ideco NGFW сеть до NGFW отправляется автоматически.

Это связано с особенностями построения таблицы маршрутизации при подключении через Ideco Client:

  • При VPN-подключении без Ideco Client DNS-запросы идут на DNS, прописанный в настройках подключения (как правило, адрес NGFW);

  • При VPN-подключении через Ideco Client DNS-запросы идут на адрес NGFW, но в передаваемом на Ideco Client списке нет маршрута до DNS NGFW.

Рекомендуем при выборе типа передачи маршрутов Отправлять только указанные сети добавить в список DNS NGFW, чтобы клиент VPN построил таблицу маршрутизации до этой сети.

Особенности маршрутизации и организации доступа по VPN к ресурсам локальной сети описаны в статье.

Device VPN

Device VPN - режим работы Ideco Client, в котором клиентское устройство авторизуется на Ideco NGFW без входа пользователя в систему. Такое соединение позволяет:

Для работы Device VPN для клиентов из локальных сетей обязательно включение настройки Создавать туннель при подключении из локальной сети.

Авторизация устройств в режиме Device VPN осуществляется с использованием сертификата и закрытого ключа. На Ideco NGFW необходимо загрузить доверенный сертификат, которым будет подписан сертификат для авторизации устройства. Если для авторизации будет использоваться самоподписанный сертификат (сгенерированный в PowerShell или Openssl), загрузите его в качестве доверенного.

Если для проверки подлинности используется промежуточный сертификат, то на Ideco NGFW нужно загрузить файл, содержащий всю цепочку сертификатов, начиная с корневого. Структура этого файла похожа на структуру файла для загрузки SSL-сертификата на сервер.

Чтобы подключить устройство к Ideco NGFW в режиме Device VPN, выполните действия:

1. В веб-интерфейсе Ideco NGFW перейдите в раздел Пользователи -> Ideco Client.

2. Введите домен или IP-адрес Ideco NGFW, включите настройку Создавать туннель при подключении из локальной сети (если устройства пользователей находятся в локальной сети).

3. Включите настройку Принимать подключения в режиме Device VPN.

4. Загрузите доверенный сертификат в формате .pem и нажмите Сохранить:

5. Перейдите в раздел Пользователи -> VPN-подключения -> Доступ по VPN и создайте правило, разрешающее учетным записям Ideco Device VPN подключение по протоколу Wireguard:

6. Установите Ideco Client на устройство пользователя (Windows, Linux, MacOS).

7. Загрузите на устройство пользователя сертификат и закрытый ключ для авторизации, подписанные доверенным сертификатом.

Файл сертификата имеет расширение .pem. Файл хранит в себе сертификат и приватный ключ.

При подключении устройства на MacOS не храните файлы сертификата и закрытого ключа для авторизации в директориях Desktop, Documents и Downloads: в этом случае Ideco Client не сможет получить доступ к этим файлам и прочитать их. Рекомендуем сохранить файлы в другую директорию, например, в корневую директорию домашней папки пользователя (/home/user).

8. Запустите установленный Ideco Client:

Для Windows

Откройте командную строку от имени администратора и введите:

<путь до IdecoClient>\IdecoClient.exe --set-devicevpn-cert-path=<путь до файла сертификата> --set-devicevpn-host=<адрес NGFW> --set-enable-devicevpn=True

Для вывода заданных параметров в консоль воспользуйтесь командой:

(sudo) <путь до IdecoClient>\IdecoClient.exe --print-devicevpn-config=True
Для Linux

Откройте терминал и введите:

sudo <путь до IdecoClient>/ld.so --argv0 IdecoClient --library-path <путь до IdecoClient>/lib <путь до IdecoClient>/IdecoClient --set-devicevpn-cert-path=<путь до файла сертификата> --set-devicevpn-host=<адрес NGFW> --set-enable-devicevpn=True

Для вывода заданных параметров в консоль воспользуйтесь командой:

sudo <путь до IdecoClient>/ld.so --argv0 IdecoClient --library-path <путь до IdecoClient>/lib <путь до IdecoClient>/IdecoClient --print-devicevpn-config=True
Для MacOS

Откройте терминал и введите:

sudo <путь до IdecoClient>/IdecoClient --set-devicevpn-cert-path=<путь до файла сертификата> --set-devicevpn-host=<адрес NGFW> --set-enable-devicevpn=True

Для вывода заданных параметров в консоль воспользуйтесь командой:

(sudo) <путь до IdecoClient>/IdecoClient --print-devicevpn-config=True

При неудачном подключении Device VPN попытка соединения будет бесконечной, даже если закрыть Ideco Client клиент или перезапустить службу.

Для решения проблемы необходимо:

  • Выключить DeviceVPN: выполнить команду по настройке Device VPN с единственным параметром --set-enable-devicevpn=False;

  • Исправить проблему подключения (загрузить правильный сертификат, определить корректность пути до него);

  • Настроить и активировать Device VPN: выполнить команду по настройке Device VPN и параметром --set-enable-devicevpn=True.

  • В интерфейсе Ideco NGFW убедиться, что подключение Device VPN выполнено.

Last updated