Данная статья содержит обзор пяти
вариантов решения задачи организации доступа к сервисам корпоративной сети из Интернет. В рамках обзора приводится анализ вариантов на предмет безопасности и реализуемости, что поможет разобраться в сути вопроса, освежить и систематизировать свои знания как начинающим специалистам, так и более опытным. Материалы статьи можно использовать для обоснования Ваших проектных решений.
При рассмотрении вариантов в качестве примера возьмем сеть, в которой требуется опубликовать:
Доступ узлов в Интернет осуществляется через NAT , а доступ к сервисам из Интернет через Port forwarding .
Плюсы варианта :
В качестве примера рассмотрим корпоративный почтовый сервис, обслуживающий клиентов как изнутри сети, так и из Интернет. Клиенты изнутри используют POP3/SMTP, а клиенты из Интернет работают через Web-интерфейс. Обычно на этапе внедрения компании выбирают наиболее простой способ развертывания сервиса и ставят все его компоненты на один сервер. Затем, по мере осознания необходимости обеспечения информационной безопасности, функционал сервиса разделяют на части, и та часть, что отвечает за обслуживание клиентов из Интернет (Front-End), выносится на отдельный сервер, который по сети взаимодействует с сервером, реализующим оставшийся функционал (Back-End). При этом Front-End размещают в DMZ, а Back-End остается во внутреннем сегменте. Для связи между Front-End и Back-End на DFW создают правило, разрешающее, инициацию соединений от Front-End к Back-End.
Плюсы варианта:
В этих условиях Нарушителю становятся доступны многие из рассмотренных ранее атак, наиболее опасными из которых будут:
Таким образом, перед нами встает задача защитить сервера внутренней сети от атак Нарушителя как из DMZ, так и из внутренней сети (заражение АРМа трояном можно интерпретировать как действия Нарушителя из внутренней сети).
Предлагаемый далее подход направлен на уменьшение числа каналов, через которые Нарушитель может атаковать сервера, а таких канала как минимум два. Первый это правило на DFW , разрешающее доступ к серверу внутренней сети из DMZ (пусть даже и с ограничением по IP-адресам), а второй - это открытый на сервере сетевой порт, по которому ожидаются запросы на подключение.
Закрыть указанные каналы можно, если сервер внутренней сети будет сам строить соединения до сервера в DMZ и будет делать это с помощью криптографически защищенных сетевых протоколов. Тогда не будет ни открытого порта, ни правила на DFW .
Но проблема в том, что обычные серверные службы не умеют работать подобным образом, и для реализации указанного подхода необходимо применять сетевое туннелирование, реализованное, например, с помощью SSH или VPN, а уже в рамках туннелей разрешать подключения от сервера в DMZ к серверу внутренней сети.
Общая схема работы данного варианта выглядит следующим образом:
Использование данного варианта на практике показало, что сетевые туннели удобно строить с помощью OpenVPN , поскольку он обладает следующими важными свойствами:
Плюсы варианта:
Школьный портал поддерживает управление доступом в интернет.
Управление осуществляется через интеграцию с прокси-сервером Squid.
Для изменения прав доступа перейдите в меню: Сервис → Доступ в интернет... .
Данное действие доступно только представителям администрации школы.
Чтобы дать доступ в интернет, достаточно поставить галочку у имени пользователя (ученика, учителя), или целого класса. Чтобы отменить доступ, нужно снять галочку. Изменения применяются после нажатия кнопки "Сохранить".
Чтобы машина в локальной сети обращалась в интернет, руководствуясь допуском, настроенным в Портале, нужно настроить её использовать прокси-сервер.
Адрес прокси-сервера - это адрес вашего школьного сервера в локальной сети, куда установлен Школьный портал. Порт прокси-сервера - 3128 .
При обращении пользователя в интернет через прокси-сервер будет затребован логин и пароль от Школьного портала.
Чтобы надёжно предотвратить доступ в интернет в обход прокси-сервера, стоит проверить, что школьный сервер не предоставляет маршрутизацию в интернет интересующим машинам, а также что машины не имеют доступ через коммутатор, модем, роутер, Wi-Fi и прочее оборудование образовательного учреждения, к которому сотрудники и учащиеся имеют сетевой доступ.
Поддерживается как отсутствие СКФ, так и интеграция со множеством провайдеров.
Настройка СКФ находится в левой колонке страницы управления доступом в интернет.
Некоторые СКФ требует регистрации для управления списками запрещённых ресурсов (например, социальные сети, непристойные материалы, коллекции рефератов и т.д.). Изменение таких настроек производится в веб-интерфейсах на сайте самой СКФ, а не в Портале. Поддержку пользователей по вопросам качестваа фильтрации осуществляет организация, обслуживающая СКФ. В Портале выполняется лишь включение и отключение направления запросов к DNS-серверам СКФ с прокси-сервера школы и не более того.
СКФ аналогично допуску в интернет применяется лишь к машинам, которые настроены строго через школьный прокси-сервер.
Важно! Работу СКФ после включения необходимо проверять согласно вашим ожиданиям, так как Портал автоматически не может проверить это за вас. Условия предоставления СКФ могут измениться их производителями в любой момент. Стоит быть подписанными на новости сервиса, которым вы пользуетесь.
Проверки и действия в данной части статьи приведены только для Ubuntu Server 10.04 LTS:
Все действия необходимо выполнять от пользователя root.
1. Установлен ли squid?
Dpkg -s squid3 | grep -i version
Если нет, установите:
Apt-get install squid3
2. Есть ли эти параметры в файле конфигурации Портала?
Auth = basic htpasswd = /var/www/sp_htpasswd sp_users_allowed = /var/www/sp_users_allowed
Если нет, добавьте и выполните
Pkill speedy
3. Squid запущен? Слушает порт 3128?
Проверка:
Netstat -ntlp | grep 3128
В ответ должно быть примерно следующее (1234 для примера, у вас может быть другой номер процесса):
Tcp 0 0 0.0.0.0:3128 0.0.0.0:* LISTEN 1234/(squid)
Как запустить Squid:
/etc/init.d/squid3 start
* Starting Squid HTTP Proxy 3.0 squid3
4. Поставьте Squid в автозапуск:
Update-rc.d squid3 enable
5. Создайте, если нет, и задайте права доступа к служебным файлам, отвечающим за управление со стороны Портала:
Touch /var/www/sp_htpasswd /var/www/sp_users_allowed chown www-data.proxy /var/www/sp_htpasswd /var/www/sp_users_allowed chmod 660 /var/www/sp_htpasswd /var/www/sp_users_allowed
6. Файл конфигурации Squid-а «из коробки» не готов к интеграции, его нужно подправить.
Сначала убедитесь, что в нем НЕТ интеграции с порталом (многократное исправление недопустимо):
Grep "School Portal Internet Control" /etc/squid3/squid.conf
Если строка от выполнения команды выше выводится, значит этот шаг следует пропустить.
Однако, если файл конфигурации был изменён таким образом, что строка есть, а интеграция не заработает, возьмите исходный файл конфигурации от Squid и выполните этот шаг над ним.
Итак, если строки НЕТ:
6.1. Удаление правил, препятствующих интеграции и изменение страниц ошибок на русские версии:
Perl -i-original -p -e "s!^http_access deny all$!#http_access deny all!; s!^# error_directory /usr/share/squid3/errors/templates$!error_directory /usr/share/squid-langpack/ru!;" /etc/squid3/squid.conf
6.2. Внесение фрагмента интеграции:
Echo " # ============================== # School Portal Internet Control # To disable replace /etc/squid3/squid.conf with /etc/squid3/squid.conf-original # ============================== auth_param basic program /usr/lib/squid3/ncsa_auth /var/www/sp_htpasswd auth_param basic children 5 auth_param basic realm Squid proxy-caching web server auth_param basic credentialsttl 2 hours auth_param basic casesensitive on acl sp_users_allowed proxy_auth "/var/www/sp_users_allowed" http_access allow sp_users_allowed http_access deny all " >> /etc/squid3/squid.conf
Если такой блок в файле squid.conf присутствует более одного раза, удалите повторы, даже если всё работает. С повтором Squid при каждом обновлении списка допуска из портала будет сыпать в свой журнал предупреждения о переопределении правил.
6.3. После внесения изменений, Squid нужно перезапустить.
/etc/init.d/squid3 restart
7. Далее воспользуйтесь веб-интерфейсом Школьного портала для раздачи доступа в интернет. Вы должны наблюдать изменение списка разрешённых логинов пользователей портала в файле /var/www/sp_users_allowed после нажатия кнопки "Применить" в веб-интерфейсе портала.
Журналы доступа к Squid (/var/log/squid3) будут содержать логины пользователей портала. Можно использовать любые анализаторы логов, совместимые с форматом логов Squid. Интеграция с Порталом не нарушает формат журналов по умолчанию, отличие в наличии логинов из портала на месте, где стоял бы прочерк при отсутствии авторизации пользователей.
8. Проверьте, не блокирует ли соединения фаерволл на школьном сервере и на клиентских машинах. По умолчанию на чистом в Ubuntu Server фаерволл разрешает все соединения, если вы вмешивались в его конфигурацию какими-либо средствами, обеспечьте разрешение соединений из локальной сети школы к порту 3128 сервера и исходящие соединения с сервера.
Все большему числу предприятий сегодня становится необходимо подключить свои компьютерные сети к Интернету. За работу канала доступа обычно отвечает Интернет-провайдер (ISP), но и системному администратору компьютерной сети предприятия, даже небольшого, приходится решать ряд организационных и технологических задач. В данной статье мы не будем рассматривать почтовые службы, IP-телефонию и виртуальные частные сети (VPN), а ограничимся доступом к Web- и ftp-сервисам на базе ОС FreeBSD и прокси-сервера SQUID в корпоративной сети, охватывающей до 100 рабочих мест.
Существует два основных метода предоставления пользователям корпоративной сети доступа к Web- и ftp-сервисам: посредством маршрутизации (трансляции) или через прокси-сервер.
В первом случае (рис. 1) доступ предоставляется по IP-адресу компьютера, на котором работает сотрудник. Такую схему можно полностью реализовать на базе программного решения - шлюза ОС FreeBSD и брандмауэра IPFW. Кроме того, существуют комплексные специализированные аппаратно-программные шлюзы. Для терминальных рабочих мест организация доступа по IP-адресам технически невозможна, так как все они используют один IP-адрес терминального сервера.
Для сопряжения рабочих станций пользователей с каналом Интернета используется шлюз в виде х86-сервера с установленными на нем ОС FreeBSD, программой NATD (обеспечивающей трансляцию внутренних IP-адресов в реальный IP-адрес сервера и обратно), IPFW, включенной маршрутизацией и двумя сетевыми интерфейсами: один из них "смотрит" в сторону локальной сети, другой подключен к провайдеру. На каждой клиентской машине в свойствах протокола TCP/IP сетевой карты необходимо прописать IP-адрес шлюза.
Во втором случае происходит авторизация пользователя по имени доступа (login) и паролю, выделенному сотруднику. Этот вариант, в частности, можно реализовать при помощи прокси-сервера SQUID и системы аутентификации ncsa_auth. Рассмотрим типовую схему (рис. 2), где SQUID установлен на шлюзе сети: сервер "смотрит" одним интерфейсом в локальную сеть, а другим подключен к Интернет-каналу. При такой установке SQUID для работы в Интернете (по HTTP, FTP и DNS) на машинах в локальной сети не требуется NATD и маршрутизации, поскольку все запросы к ресурсам Интернета SQUID отправляет "от себя" - с IP-адресом внешнего интерфейса шлюза. Службу DNS на компьютерах клиентов можно отключить, поскольку сам SQUID обращается к DNS.
 |
| Рис. 2. Доступ в Интернет через прокси-сервер. |
Как правило, в корпоративной сети используется электронная почта, и для ее работы маршрутизация и NATD на шлюзе все равно понадобятся, но для Web-почты, работающей по протоколу HTTP, достаточно прокси-сервера SQUID.
"Скачанные" из Интернета данные SQUID передает пользователю и сохраняет в своем кэше. При повторном запросе эти данные извлекаются уже из кэша (если, конечно, Web-страница допускает кэширование), что происходит гораздо быстрее и не занимает к тому же канал доступа. Кроме более эффективного использования пропускной способности канала, получается экономия и на объеме трафика (по данным автора, в среднем за месяц она составляет 13%). Данные в кэше могут обновляться в зависимости от настройки самого прокси-сервера. При нажатии кнопки "Обновить" на панели управления браузера прокси-сервер принудительно копирует данные с Web-сервера, даже если они есть у него в кэше и не устарели (а заодно и обновляет их в кэше). Но некоторые страницы на Web-сайтах специально помечаются как некэшируемые, например, для целей повышенной актуальности.
Кроме собственно доступа, системному администратору необходимо еще решить проблемы авторизации доступа, учета трафика и времени работы пользователей в Интернете, обеспечения безопасности локальной сети предприятия. Необходимо также определить правила распределения пропускной способности Интернет-канала между пользователями сети и правила доступа к ресурсам Интернета; возможно, потребуется установить и другие ограничения для пользователей.
Все эти процедуры, в зависимости от принятого типа доступа (по IP-адресу или через прокси-сервер), имеют свои особенности.
Аутентификация по IP-адресу компьютера не предусматривает защиты доступа в Интернет паролем. Пользователи, зная пароли на доступ к рабочей среде ОС других машин предприятия, могут работать на различных компьютерах. Поэтому, если несколько сотрудников используют один компьютер для работы в Интернете, разделить их трафик при учете невозможно.
Существует вариант подмены IP-адреса; правда, есть и вариант противодействия - статическая таблица ARP (Address Resolution Protocol - протокол преобразования IP-адресов в MAC-адреса/аппаратные адреса сетевых карт) на шлюзе, где прописаны соответствия IP-адрес - MAC-адрес сетевой карты рабочей станции. В общем, IP-аутентификация не обладает достаточной гибкостью и достоверностью и допускает только подсчет суммарного объема трафика.
В случае прокси-сервера пользователям корпоративной сети, получившим разрешение на доступ в Интернет (HTTP, FTP, ICQ), присваивается идентификационная пара: имя (login) и пароль (password). Подобная схема тоже позволяет выходить в Интернет с одного компьютера различным пользователям (главное, чтобы в клиентских программах были прописаны параметры прокси-сервера). Учет трафика будет вестись по каждому пользователю (логину) отдельно. Аутентификацию обеспечивает прокси-сервер SQUID под управлением ОС FreeBSD, а программная подсистема ncsa_auth хранит пароли в зашифрованном формате MD5. SQUID может использовать различные механизмы внешней аутентификации.
Работа в Интернете через прокси-сервер должна поддерживаться клиентским ПО: в его настройках прописывается DNS или IP-адрес прокси-сервера, а также его TCP-порт. Все современные браузеры и клиент ICQ поддерживают работу через прокси-сервер и аутентификацию на нем. Аутентификация может происходить при каждом подключении (запрашиваются логин и пароль) или быть постоянной (не требующей ввода имени и пароля, при этом в настройках клиентской программы прописывается имя пользователя из списка аутентификации прокси-сервера и пароль). Аутентификация происходит однократно и действует до закрытия программы-клиента. По окончании работы в Интернете пользователь просто закрывает браузер и тем самым прерывает разрешенную сессию.
Учет трафика по IP-адресам рабочих станций ведется средствами IPFW - программного брандмауэра, встроенного в ядро ОС FreeBSD. Для достоверного учета трафика по пользователям при такой схеме доступа сотрудники должны выходить в Интернет только с закрепленных за ними рабочих мест, что, естественно, ограничивает гибкость и мобильность их работы.
Тем не менее такой подход имеет и свое преимущество - более точный учет суммарного объема трафика по IP-протоколу. Эта процедура реализуется с помощью установки двух правил COUNT брандмауэра IPFW:
Count ip from any to any in via de0 count ip from any to any out via de0
Первое правило учитывает входящий поток, второе - исходящий. Здесь de0 - внешний сетевой интерфейс шлюза, который имеет реальный IP-адрес в Интернете. В то же время при такой схеме невозможно протоколировать имена ресурсов, посещаемых пользователями, а также имена и размеры скачанных файлов.
При использовании прокси-сервера учет трафика ведется по протоколу HTTP, и объем таких данных меньше, чем величина IP-трафика. Но при аутентификации по пользователям SQUID заносит все данные о запросах (DNS-адреса сайтов, время получения запроса, объем скачанных файлов, источник - кэш SQUID или Интернет) в журнал по каждому пользователю, вне зависимости от IP-адреса клиентской машины.
Подключение физического канала Интернет напрямую в корпоративную сеть равносильно вынесению рабочих мест своего предприятия на людную площадь. Как правило, информация, циркулирующая в локальной сети, критически важна для деятельности предприятия, и вредоносное воздействие вирусов (например, почтовых), атака извне или утечка данных изнутри могут полностью нарушить его работу.
Вредоносное воздействие вирусов трудно недооценить, но решение этой проблемы на 90% зависит от осведомленности пользователей - не запустит ли кто вложенный в письмо вирус. Вирусные атаки можно блокировать и отражать антивирусными программами на почтовых серверах (Dr.Web, McAfee, "Антивирус Касперского Business Optimal" и т. д.) и на компьютерах пользователей (Norton Antivirus, соответствующие продукты "Лаборатории Касперского" и т. д.). Главное при этом - своевременное обновление антивирусных баз.
Атаки извне, в зависимости от того, как организовано подключение, блокируются грамотной настройкой шлюза, применением прокси-сервера на шлюзе без NAT и маршрутизации, а также вынесением прокси-сервера, почтового и Web-сервера в "демилитаризованную зону" (DMZ, подсеть корпоративной сети, доступная из Интернета).
Утечки корпоративных данных имеют в основном организационную природу и составляют самую сложную проблему для службы безопасности предприятия. Существуют технические решения, минимизирующие возможность этого: в частности, закрытие всех TCP/UDP-портов на интерфейсе шлюза, "смотрящем" в локальную сеть (остается только порт прокси-сервера). Должна быть отключена маршрутизация и преобразование адресов (NAT) между Интернетом и внутренними ("серыми") IP-адресами сети предприятия.
Перечисленные меры используются, когда прокси-сервер установлен на шлюзе, но более защищенной считается система с прокси-сервером, вынесенным в DMZ.
Наиболее полную защиту обеспечивает физическое разделение локальной корпоративной сети и Интернета. В этом случае на предприятии организуется компьютерная сеть для работы в Интернете, не связанная с локальной сетью каналами передачи информации. Данные, которые необходимо отправить по электронной почте, переносятся на сменных носителях (например, компакт-дисках), которые проверяются службой безопасности и шифруются, например, с помощью PGP - бесплатной программы шифрования почтовых сообщений и файлов.
Для IP-схемы доступа разделение пропускной способности канала между пользователями можно реализовать средствами Pipes брандмауэра IPFW ОС FreeBSD, а в случае прокси-сервера SQUID - использовать его механизм delay_pools.
Сервер определяет размер файла, запрошенного пользователем, и если этот размер не превышает установленной величины, то файл загружается на максимально возможной скорости. В случае более объемного файла он передается с заданной ограниченной скоростью. Данный механизм применяется не ко всем пользователям, а лишь к перечисленным в списках ACL (Access Control List - именованная группа объектов, к которым могут применяться различные ограничения), что позволяет очень гибко настраивать приоритеты работы различных групп пользователей.
В то же время, если в данный момент работает только один пользователь, к нему все равно будут применяться ограничения по скорости при загрузке больших файлов. IPFW, в отличие от delay_pools у SQUID, позволяет реализовать динамическое деление канала.
Для IP-схемы возможны ограничения только по IP-адресам серверов и по TCP/UDP-портам. Это вызывает неудобства, поскольку сегодня распространен механизм Virtual Hosts Web-сервера Apache на основе протокола HTTP v1.1, когда один Web-сервер с одним IP-адресом обслуживает множество сайтов с разными DNS-именами.
SQUID же, наоборот, предоставляет очень гибкие механизмы администрирования доступа пользователей к ресурсам Интернета с помощью списков ACL. Это может быть, например, доступ в определенное время, день недели, месяц; разрешение/запрет на копирование определенных типов файлов, разрешение/запрет на обращение к ресурсу, в имени которого содержится некоторое ключевое слово.
В роли шлюза (gateway) используется компьютер с двумя сетевыми интерфейсами (один подключен к каналу Интернета и имеет реальный IP-адрес, а другой "смотрит" в корпоративную сеть и идентифицируется IP-адресом ее подсети), на котором установлена ОС FreeBSD (http://www.freebsd.org). FreeBSD проста в настройке, надежна, распространяется бесплатно и содержит практически все, что может понадобиться для сетевого сервера масштабов предприятия.
Процесс установки ОС FreeBSD, конфигурирование сетевых интерфейсов, запуск и конфигурирование IPFW, NATD, маршрутизации - в общем, все необходимое для настройки шлюза доступа в Интернет (и по IP, и с помощью прокси-сервера SQUID, кроме настройки самого SQUID) подробно описано в книге М. Эбена и Б. Таймэна "FreeBSD. Энциклопедия пользователя" (Киев: Diasoft, 2003).
Для обоих вариантов организации доступа в Интернет необходимо сконфигурировать ПО IPFW. IPFW фильтрует и подсчитывает IP-пакеты на всех сетевых интерфейсах. Программа также обрабатывает пакеты и на более высоких уровнях: UDP, TCP и ICMP. Кроме того, IPFW участвует в работе NATD. Автор рекомендует при настройке правил ipfw воспользоваться утилитой trafshow для контроля обращений в сеть и из сети по всем интерфейсам с указанием IP-адресов внешних машин, протоколов и портов в реальном времени. Команда
Trafshow -i fxp0 -n
задает отображение пакетов на fxp0-интерфейсе с номерами портов, а команда
Ipfw -a list
отображает правила ipfw, число пакетов и объем трафика (в байтах), прошедших с момента включения сервера или последнего обнуления счетчиков правил.
Кэширующий прокси-сервер SQUID (http://www.squid-cache.org) на платформе Unix - это распространяемое бесплатно ПО с открытым кодом. Он легко конфигурируется, хорошо документирован, широко распространен и просто интегрируется с ОС FreeBSD. SQUID позволяет организовать различные типы аутентификации при доступе к Интернету, разграничивает доступ по любому параметру (имени домена, ключевому слову в адресе, протоколу и т. д.) на основе списков ACL.
При использовании SQUID на шлюзе необходимо закрыть для локальных машин возможность обращаться к внешним адресам (и наоборот) и разрешить доступ из локальной сети только к порту прокси-сервера на его локальном интерфейсе. NAT и маршрутизацию на шлюзе, если они не нужны для SMTP или для других служб, также следует отключить.
|
Установка проводится из портов ОС FreeBSD (в версии 4.9, текущая версия 4.10) /usr/ports/www/squid (2.5 версия STABLE3) или /usr/ports/www/squid24 (STABLE7). Нужные опции необходимо раскомментировать в Makefile. Рекомендуемые опции: CONFIGURE_ARGS+= -enable-delay-pools (для включения механизма распределения пропускной способности); CONFIGURE_ARGS+= -enable-err-language=Russian-1251 (для диагностики на русском языке) После установки SQUID необходимо установить саму систему авторизации. Ее исходные тексты содержатся в файлах SQUID: /usr/ports/www/squid24/work/squid-2.4.STABLE7/auth_modules/NCSA Рабочий пример текста squid.conf Icp_port 0 client_netmask 255.255.255.0 authenticate_program /usr/local/squid/bin/ncsa_auth /usr/local/etc/passwd authenticate_children 20 reference_age 2 weeks acl all src 0.0.0.0/0.0.0.0 acl manager proto cache_object acl localhost src 127.0.0.1/255.255.255.255 acl SSL_ports port 443 563 acl Safe_ports port 80 # http acl Safe_ports port 21 # ftp acl Safe_ports port 443 563 # https, snews acl Safe_ports port 70 # gopher acl Safe_ports port 210 # wais acl Safe_ports port 1025-65535 # unregistered ports acl Safe_ports port 280 # http-mgmt acl Safe_ports port 488 # gss-http acl Safe_ports port 591 # filemaker acl Safe_ports port 777 # multiling http acl CONNECT method CONNECT acl Inet_users proxy_auth "/usr/local/etc/squid_users" delay_pools 1 delay_class 1 2 delay_parameters 1 7500/7500 1875/1875 delay_access 1 allow Inet_users delay_access 1 deny all http_access allow manager localhost http_access deny manager http_access deny !Safe_ports http_access deny CONNECT !SSL_ports http_access allow Inet_users http_access deny all |
После установки, конфигурирования, запуска SQUID и его системы авторизации администратору остается только добавление и удаление пользователей. Данные о пользователе достаточно создать лишь в SQUID, так как он не попадает в среду ОС прокси-сервера, и соответственно не надо создавать идентификационные данные пользователя ОС. После изменений в squid.conf или добавления/удаления пользователей SQUID должен перечитать свою конфигурацию без закрытия существующих пользовательских сессий командой
Squid -k reсonfigure.
Создавая пользователя SQUID при помощи ncsa_auth, необходимо прописать login и пароль пользователя в двух файлах конфигурации; в нашем примере это будет выглядеть так:
/usr/local/etc/squid_users /usr/local/etc/passwd
В первый файл просто добавляется имя (login) пользователя с новой строки с помощью текстового редактора. Во втором файле хранятся пароли пользователей (в MD5), и добавлять в этот файл учетную запись можно только с помощью утилиты htpasswd, которая поставляется с Web-сервером Apache.
Необходимо следить за содержанием кэша SQUID и периодически его очищать во избежание переполнения файловой системы - командой squid -Z.
В настройках клиентов в свойствах браузеров и клиентов ICQ необходимо указать IP-адрес прокси-сервера и порт. В нашем примере это IP:192.168.1.8 и порт 3128 (этот порт используется по умолчанию). Если программа ICQ настроена для работы через прокси-сервер, то она использует 443-й, а не 5190-й TCP-порт ICQ-серверов, что также надо учитывать при настройке межсетевых экранов. При использовании SQUID необходимо закрыть для локальных машин возможность обращаться к 80-му TCP-порту Интернет-серверов. Можно вообще разрешить доступ только к порту прокси-сервера, а ко всем остальным, за исключением почтовых, его закрыть, дабы "продвинутые" пользователи не ходили в Интернет в обход SQUID.
С тонкостями настройки SQUID можно познакомиться на сайте http://www.bog.pp.ru/work/squid.html .
Для этой цели используется бесплатная программа-анализатор с открытым кодом SARG (). Результат ее работы - HTML-страницы, которые отображают всевозможные статистические срезы данных о работе пользователей в Интернете. Анализируется весь период ведения журнала, поэтому удобнее делать необходимые срезы в конце месяца, а затем очищать журнал SQUID командой access.log.
Наиболее часто востребованы два типа срезов. Во-первых, распределение объемов информации, загруженной из Интернета, по пользователям, обычно отсортированное по убыванию объема (рис. 3). При этом выдается также количественная информация об эффективности кэширования. Данный срез позволяет проанализировать объем работы в Интернете в целом и проранжировать пользователей по активности их работы в Интернете.
Второй популярный срез - отображение загруженной конкретным пользователем информации по сайтам (рис. 4), также отсортированное по убыванию объемов данных. Данный срез позволяет провести "разбор полетов" пользователя в Интернете и выяснить, соответствуют ли наиболее часто запрашиваемые сайты служебным обязанностям сотрудника.
Мы рассмотрели два варианта организации постоянного подключения корпоративной сети к Интернету.
Для варианта "по IP-адресам компьютеров пользователей с помощью правил IPFW" характерны следующие недостатки. Во-первых, невозможно проверить целесообразность работы пользователя в Интернете, поскольку IPFW подсчитывает только суммарный трафик, по каждому правилу, прописанному для конкретной машины, и не ведет учета посещаемых сайтов. Во-вторых, невозможно провести авторизацию пользователя, работающего в данный момент в Интернете. Это особенно важно, если машину "делят" между собой несколько пользователей. И наконец, существует возможность подмены пользователем IP-адреса.
Кроме того, в случае использования терминального сервера невозможно учитывать трафик различных пользователей, так как все они работают с одного IP-адреса терминального сервера.
Перечисленные недостатки просто отражают ограничения учета и администрирования трафика по IP-адресам и системы учета IPFW. IPFW и не предназначен непосредственно для замеров трафика пользовательских машин, это средство для учета канального трафика.
Полное и законченное решение проблемы предоставляет система, использующая шлюз с ОС FreeBSD, настроенный брандмауэр IPFW и установленный на нем прокси-сервер SQUID с включенной аутентификацией ncsa_auth. Использование кэширующего прокси-сервера в корпоративной сети позволяет сэкономить до 10% на оплате объема месячного трафика и многократно ускорить загрузку повторно посещаемых ресурсов.
Все ПО, применяемое в данном решении, - бесплатное. Расходы на его поддержку минимальны, а как показывает практика, система FreeBSD+SQUID достаточно надежна.
Система SQUID благодаря гибкости настройки и наличию интерфейсов для подключения внешних модулей хорошо масштабируется. Погрешность учета трафика по протоколу HTTP в сравнении с IP, присущая SQUID, не принципиальна; гораздо важнее, что при этом можно организовать достоверный количественный и качественный мониторинг работы пользователей в Интернете по протоколам HTTP, HTTPS и FTP и разграничить права и приоритеты доступа.
Прокси-сервер способен функционировать на достаточно маломощной машине, например, с процессором Celeron частотой 1 ГГц, 128 Мбайт памяти и жестким диском 20 Гбайт (такая конфигурация в данный момент работает на нашем предприятии, обслуживая 30 пользователей), а роль шлюза при доступе по IP (FreeBSD, IPFW, NATD) может выполнять компьютер на базе Pentium 166 МГц со 128 Мбайт памяти.
Павлов Сергей Системный инженер компании Softmart
В данной статье представлены наиболее популярные способы подключения офиса небольшой организации к сети Интернет. В статье не затрагиваются вопросы выбора провайдера и вопросы выбора конечного оборудования для подключения к сети. Мы исходим из того, что провайдер предоставляет организации следующее:
1. Сетевой интерфейс Ethernet RJ45 - стандарт для сетевого оборудования в локальных сетях
2. IP адрес - один или несколько, постоянный или динамический
3. IP адрес шлюза и DNS
Приведем также небольшой портрет организации, на которую рассчитана эта статья:
1. Количество компьютеров в сети - до 30;
2. В сети есть один файловый сервер или сервер корпоративной системы управления;
3. Web сервер и почтовый сервер организации размещен у провайдера, а не в локальной сети предприятия;
4. Интернет канал будет использоваться сотрудниками преимущественно для работы с электронной почтой и просмотра Web-страниц;
5. Компьютеры и серверы организации должны быть защищены от несанкционированного доступа по каналу сети Интернет;
Из возможных, но редко встречающихся условий можно также упомянуть:
1. Безопасное подключение сотрудников к сети организации удаленно - из дома или другого офиса;
2. Безопасное соединение небольших офисов разнесенных территориально;
3. Размещений Web-сервера, почтового сервера, сервера какой-либо внутренней системы управления внутри сети организации с предоставлением свободного доступа к ним сотрудников или клиентов по сети Интернет;
При таком подходе для организации доступа в сеть Интернет выделяется персональный компьютер или сервер. Сервер или ПК оснащается дополнительной сетевой картой. Одна из них подключается к сети провайдера, другая - к сетевому коммутатору организации.
На шлюзе целесообразно запустить службу NAT - сетевой трансляции IP адресов.
Достоинства такого решения:
1. Возможность использования широчайшего списка программного обеспечения для решения разнообразных задач, например:
для защиты сервера и сети от атак из Интернет;
для антивирусной защиты сервера, трафика или электронной почты;
для защиты от спама;
для подсчета трафика;
для управления доступом в сеть Интернет сотрудниками организации;
2. Достаточно одного IP адреса от провайдера.
3. Обеспечивается достаточный уровень защиты локальной сети от внешних воздействий за счет использования службы NAT.
4. Небольшая стоимость сетевого экрана, поскольку допускаются решения для персональных компьютеров.
5. Из сети Интернете виден только компьютер шлюза, и хакеры могут атаковать лишь этот компьютер. Локальная сеть, включая сервера и рабочие станции, им не доступна в принципе. Таким образом, при выходе из строя шлюза локальная сеть организации продолжает функционировать.
Недостатки
1. Если компьютер-шлюз также используется как обычная рабочая станция одного из сотрудников, например, исходя из экономии средств, то возможны серьезные проблемы с безопасностью. Пользователь, работающий на шлюзе, может своими действиями ослабить защиту сервера. Кроме того, возможны проблемы с производительностью шлюза, поскольку часть мощности компьютера будет отнимать пользователь;
2. Крайне не рекомендуется, использовать шлюз как файловый сервер организации по причине доступности сервера из сети Интернет. Требуется мощный сетевой экран (не персональный) и работа очень квалифицированного специалиста по настройке безопасности на шлюзе. Теме не менее это очень часто встречающаяся конфигурация в небольших организациях;
3. Требуется приобретать дополнительное программное обеспечение. Служба NAT не входит в состав операционных систем Windows, кроме Microsoft Windows XP (NAT реализован, но с некоторыми ограничениями). Стоимость сетевых экранов варьируется от десятков долларов до нескольких тысяч. Как минимум требуется специальная программа для обеспечения доступа в сеть Интернет всех пользователей локальной сети. (программа называется прокси-сервер).
4. Требуется дополнительное устройство - сетевая карта.
Примерная стоимость реализации данного решения:
|
Персональный компьютер - шлюз |
$40 0 |
|
|
Прокси-сервер |
UserGate 3.0 (10 сессий) |
$ 129 |
|
Сетевой экран (firewall) |
Kaspersky AntiHacker |
$39 |
|
Дополнительная сетевая карта |
D-Link DFE-530 TX |
$10 |
|
Услуги по настройке |
Softmart |
$70 |
|
Итого |
$648 |
При таком подходе для организации доступа в сеть Интернет требуется получение дополнительного количества IP адресов от провайдера для каждого персонального компьютера в локальной сети организации. Такое решение, вероятно, обеспечивает наиболее быстрое подключение сотрудников организации к сети Интернет. Однако данное решение редко применяется при числе компьютеров в компании более двух по двум причинам:
1. Провайдер крайне неохотно выделяет IP адреса, и сам Вам порекомендует перейти на любую другую схему подключения компьютеров в сеть Интернет.
2. Данное решение потенциально наименее безопасно с точки зрения защиты Ваших данных от несанкционированного доступа и атак из сети.
Достоинства:
1. простая настройка компьютеров.
2. не надо покупать дополнительный компьютер - шлюз.
3. не надо покупать дополнительное программное обеспечение - прокси-сервер.
Недостатки:
1. На каждом компьютере требуется установить всестороннюю систему защиты.
2. Зависит от возможности провайдера предоставить несколько IP адресов
3. Нет статистики по использованию канала
Стоимость релизации данного решения:
Для каждого компьютера в сети:
|
Сетевой экран (firewall) |
Kaspersky AntiHacker |
$39 |
|
Настройка |
Softmart |
$10 |
|
Итого |
$49 |
Организация доступа с помощью устройств D-LINK
Компания D-Link предлагает широкий спектр устройств для безопасного подключения небольших организаций к сети Интернет. Все решения можно условно разделить на два больших класса:
1. Маршрутизаторы серии DI
2. Файрволы серии DFL
Устройства семейства DI были специально спроектированы для целей и задач небольших офисов. Они обладают всей необходимой функциональностью за более чем приемлемую цену. В зависимости от модели устройства могут оснащаться:
сетевым экраном,
точкой доступа Wi-Fi,
встроенным прокси-сервером,
сетевым портом подключения принтера,
встроенным ADSL модемом
VPN модулем
Все устройства поддерживают:
1. DHCP (функция динамического назначения IP адресов компьютерам в сети)
2. NAT (функция динамической трансляции IP адресов из внутренний сети в IP адреса сети Интернет)
3. Функцию виртуального сервера, необходимую для организации доступа к локальному серверу из сети Интернет
4. Функцию Защищенной зоны, необходимую для организации доступа к нескольким локальным ресурсам из сети Интернет
Достоинства
3. Низкая цена для своего класса.
4. Защита от атак с помощью NAT, + возможность вводить правила запрещения доменов, адресов и т.д..
7. Возможность создании защищенных соединений в Интернете (VPN) , для связи с другими офисами.
8. Возможность организации доступа к внутренним ресурсам локальной сети.
9. Возможность поддержки мобильных пользователей.(Wi-Fi).
10. Возможность подключения сетевого принтера.
Недостатки:
2. Есть аппаратные ограничения на количество одновременно работающих сотрудников. До 2000 одновременных соединений устройство DI выдержит без заметных отклонений по производительности.
3. Аппаратура чувствительна к атакам изнутри, например, сетевых вирусов. При таких атаках, нагрузка на устройство резко возрастает.
4. Само устройство слабо защищено от типовых сетевых атак. При этом данные организации и компьютеры, как правило, не страдают.
5. Статистика по использованию канала сотрудниками недостаточно детальная.
Примерная стоимость решения
|
D -Link DI -604 |
D -Link |
|
|
Настройка |
Softmart |
|
|
Итого |
Устройства семейства DFL - это уже высокопроизводительные сетевые экраны, оснащенные всеми мыслимыми и новомодными решениями по защите локальной сети и ресурсов организации от вторжения. В зависимости от конкретной модели устройство может быть, например, оснащено:
системой обнаружения вторжений IDS
системами обнаружения типовых атак и их отражения
системой управления полосой пропускания
системой балансировки нагрузки
VPN
Нужно подбирать модель, исходя из количества компьютеров в сети и требований по безопасности. Лучше всего обратиться за помощью к консультанту по решениям D-Link.
Достоинства:
1. Аппаратные решения очень надежны, компактны и неприхотливы.
2. Устройства хорошо защищены сами от атак из Сети и хорошо защищают периметр локальной сети организации.
3. Защита от сетевых атак, включая: SYN, ICMP, UDP Flood, WinNuke, сканирование портов, спуфинг, подмену адресов, отказ в обслуживании и др.
4. Один раз настроенная система, в дальнейшем не нуждается в настойке.
5. Нет выделенного компьютера - шлюза.
6. Простая установка и настройка.
7. Низкая цена для своего класса.
8. Возможность создания защищенных соединений в Интернете (VPN) , для связи с другими офисами.
9. Возможность организации доступа к внутренним ресурсам локальной сети.
Недостатки:
1. Настройку должен проводить квалифицированный специалист.
2. Статистика по использованию канала сотрудниками недостаточно детальная.
Примерная стоимость решения
D
-Link
DFL
-100
D
-Link
$200
Настройка
Softmart
Итого
$230
Заключение
При всем богатстве выбора нам кажется, что наиболее оптимальным решением для небольшой организации является все-таки решение на основе одной из моделей устройств D-Link семейства DI. Устройства просты, компактны, доступны по цене и достаточно функциональны. Единственно в чем решения DI можно упрекнуть - это отсутствие некоторых возможностей прокси-серверов, например, статистики по объему закаченной информации по сотрудникам. Ведь именно эти данные, как правило, используются провайдерами для выставления счета за использование канала. Если эта функция жизненно необходима для Вашей организации, то стоит дополнительно рассмотреть приобретение прокси-сервера, например, UserGate от компании eSafeLine. Только не забывайте, что прокси-сервер потребует приобретение дополнительного компьютера.
Записей: 4Это руководство описывает процесс настройки компьютеров под управлением операционных систем семейства Windows XP, 7 или Linux (Ubuntu) для удаленного управления доступом к сайтам сети Интернет.
Руководство подробно не описывает приемы работы с сервисом Rejector, речь о котором пойдет ниже, оно лишь позволяет настроить компьютер так, чтобы в полной мере использовать его возможности.
Все используемые средства относятся к ряду бесплатного или открытого программного обеспечения.
Интернет - прекрасное средство для обучения, отдыха или общения с друзьями. Но в сети помимо полезной информации, есть и нежелательная для вашего ребенка. Кроме этого, многочасовое сидение в Интернете может отвлечь от других важных занятий, таких как домашние задания, спорт, сон или общение со сверстниками. Поэтому, необходимо контролировать деятельность ребенка в Интернете.
Существует много разных методов контроля, но не всегда они являются эффективными. Уговоры и воспитательные беседы могут действовать весьма непродолжительное время, ведь нахождение в сети может ребенка увлечь настолько, что он забудет о всех уговорах. А запреты могут негативно сказаться на развитии полезных навыков поиска и обучения в Интернете.
В таких случаях вам помогут специальные программы по ограничению и контролю доступа к сети. С помощью них вы можете оградить вашего ребенка от негативных влияний Интернета, но при этом предоставить свободу действий. Одной из таких средств Система контроля доступа к Интернету Rejector.
Rejector — это централизованный проект для контроля доступа к сети Интернет. Он позволит вам оградить детей и подростков от опасной информации. По сути Rejector — это DNS-сервер с возможностью удаленного им управления.
Вы регистрируетесь, добавляете свои IP, настраиваете параметры доступа. Вы можете использовать сервис и без регистрации, но тогда вы не сможете использовать все его возможности.
Ваши компьютеры настраиваются так, что бы все DNS запросы посылались на DNS сервера Rejector 95.154.128.32 и 176.9.118.232.
Каждый запрос проверяется на соответствие вашим настройкам, такие как запрещенные категории или сайты, разрешенные или запрещенные сайты, списки закладок или сайты мошенники, и в случае подтверждения блокирования, запрос перенаправляется на страницу запрета.
Эту страницу вы можете настроить на своё усмотрение.
Разрешенные запросы, прошедшие проверку, попадают в общий кэш запросов для быстрой выдачи всем клиентам.
Более подробное описание продукта Rejector вы можете найти на официальном сайте rejector.ru
Обычно, при установке операционной системы создается пользователь с правами Администратора. Такой пользователь может производить все возможные действия, предоставляемые операционной системой в плоть до удаления самой системы.
Чтобы исключить обратимость всех наших дальнейших действий со стороны пользователя, которого мы берем под контроль, создадим пользователя с ограниченными правами, а Администратору — нам задействуем пароль.
В системе Windows это делается через Панель управления; в Linux создание пользователя доступно через Параметры системы.
Rejector — это сервис, который представляет собой, по сути, DNS сервер. Для работы с ним нужно прежде всего настроить сетевое соединение так, что бы DNS запросы посылались на DNS сервера Rejector 95.154.128.32 и 176.9.118.232.
В Windows и Linux это делается по разному.
Windows XP
Windows Vista
Подробная инструкция находится по адресу
Windows 7
Подробная инструкция находится по адресу
В большинстве операционных систем семейства Linux для настройки сети используется программа Network Manager. Для того, чтобы изменить DNS — сервер, делаем следующее:
Нажимаем ПКМ на индикаторе соединения и, в контекстном меню, выбираем пункт Изменить соединение
Если вы используете DHCP сервер при подключении к Интернету то, в параметрах IPv4 изменяем Способ настройки на Автоматический (DHCP, только адрес)
В поле Серверы DNS вводим два адреса через запятую 95.154.128.32, 176.9.118.232
Делаем соединение Доступным для всех пользователей и Автоматически подключаемым
В принципе, с этого можно было и начать. Но теперь, когда одна из сложностей позади, это мы делаем легко и просто. Переходим по ссылке и заполняем простую форму для регистрации.
Зарегистрировавшись на сервисе, мы можем создавать необходимое число сетей или, что, в принципе, одно и тоже — клиентов, которыми мы будем управлять. Сети (Клиенты) идентифицируются на сервисе по их IP-адресу. Поэтому, чтобы управлять доступом в Интернет какого-то компьютера нужно знать его IP-адрес. Пока просто создадим Сеть через Панель управления на сайте Rejector по адресу.
Заполняем форму Добавления сети. Название сети — здесь вы можете указать имя вашего ребенка, если у него свой компьютер и вы хотите его контролировать. Статус — скорее всего, у вас будет Динамический IP-адрес (редкий провайдер выделяет для своих клиентов Статический адрес бесплатно), поэтому выбираем этот переключатель. Идентификатор сети — можно записать латиницей имя, которое вы указали в первом поле.
Для работы сервиса, ему нужно постоянно «знать» IP-адрес клиента, который может меняется от подключения к подключению (Динамический IP-адрес). Это основная проблема, которая решается в этом руководстве.
Сами разработчики сервиса предлагают программу Rejector Agent, которая отправляет IP-адрес клиента на сервер. Но, эта программа не может работать автономно. Поэтому мы воспользуемся другой предоставленной возможностью. А именно — обновление с помощью HTTP-запроса (описание по ссылке).
Чтобы производить обновление сведений Клиента посредством HTTP-запроса в фоновом режиме, нам понадобится программа Curl. Эта программа способна отправлять забросы по протоколу HTTP в Интернет через командную строку. Параметры к этой программе мы зададим в скрипте; для Windows это будет bash-файл для Linux — sh.
Программа Curl распространяется свободно и имеет версию для Windows, поэтому мы будем использовать ее в обоих средах. Для Windows последнюю версию программы можно скачать по ссылке. Чтобы установить, достаточно распаковать содержимое поолученного архива в папку C:\WINDOWS\SYSTEM32 (это упростит запуск программы). В операционной системе семейства Linux она, скорее всего, уже будет установлена.
На сайте предлагается следующий HTTP-запрос http://username:[email protected]/ni...,
который обновит значение IP адреса. Мы будем подставлять его в качестве параметра для программы curl.
Запрос на обновление адреса должен отправляться с того компьютера, который мы хотим контролировать. Из-за того что текстовый терминал обрабатывает команды особым образом, текст запроса пришлось немного изменить. Текст сценария для Windows и Linux приведен ниже.
Для Windows
:loop
curl "http://login%%40mail-server.com
:password
@updates.rejector.ru/nic/update?hostname=net-name
"
# Делаем задержку в 300 секунд
ping -n 300 127.0.0.1 > NUL
echo 111
goto loop
Где login%%40mail-server.com — ваш почтовый ящик, с помощью которого регистрировались на Rejector (знак @ заменен на %%40); password — пароль; net-name — имя сети на сервисе Rejector.Поместите текст скрипта в обычный текстовый файл, замените расширение на.bat и вы получите исполняемый сценарий.
Для Linux
#! /usr/bin/sh
while true; do curl -u [email protected] :password "http://updates.rejector.ru/nic/update?hostname=... sleep 300; done;
Здесь все аналогично записи для Windows. Запишите этот текст в текстовый файл с расширением sh.
Оба скрипта содержат пароль аккаунта Rejector в открытом виде, поэтому необходимо скрыть их содержимое от просмотра для обычного пользователя. В Linux и Windows это реализовано по разному
Для того, чтобы запретить просмотр и редактирование созданного нами этого необходимо изменить владельца и группу файла на root и запретить всем, кроме владельца, доступ к файлу. Если вы владеете навыками работы в командной строке, то вам нужно перейти с помощью команды cd в каталог с файлом скрипта и выполнить команду chown root:root skcript.sh и chmod 700 script.sh. ,Чтобы сделать то же самое в графической оболочке, нужно сначала запустить файловый менеджер с правами администратора, найти файл скрипта и изменить Права, используя контекстное меню.
Не вдаваясь в то как можно изменить права доступа к файлу подобно в Linux, применил следующее решение. Преобразуем наш исполняемый файл в EXE-файл, чтобы скрыть его содержимое. Для этой цели воспользуемся бесплатной программой Bat To Exe Converter. Предлагаю скачать ее русифицированную версию по ссылке или на официальном сайте программы. Программа не требует пояснений в работе. На входе ставим наш bat-файл на выходе получаем exe-файл.
Осталось сделать последний шаг. Сделаем автоматический запуск программы вместе с запуском системы. В Linux и Windows это делается по разному.
Заходим в систему от имени Администратора и перемещаем наш исполняемый файл.exe в папку PogramFiles. В домашнем каталоге пользователя находим папку Главное меню , в ней Программы , Автозапуск куда и помещаем ярлык от нашей программы (это можно сделать путем перетаскивания самой программы с зажатой клавишей Shift). Готово.
Поместим исполняемый файл в папку /usr/bin . Отредактируем файл запуска локальных приложений системы /etc/rc.local , добавив в нем строчку перед exit 0.
/usr/bin/script.sh
где script.sh — имя нашего файла.
На этом настройка системы закончена. Можно заходить на сервис Rejector и настраивать режим работы сети.
