всичко Повече ▼Днес става необходимо за бизнеса да свързва своите компютърни мрежи с Интернет. Доставчикът на интернет услуги (ISP) обикновено отговаря за работата на канала за достъп, но също така системен администраторКомпютърната мрежа на едно предприятие, дори и малко, трябва да решава редица организационни и технологични проблеми. В тази статия няма да разгледаме пощенски услуги, IP телефония и виртуални частни мрежи (VPN), но ние ще се ограничим до достъп до уеб и ftp услуги, базирани на операционната система FreeBSD и прокси сървъра SQUID в корпоративна мрежа, обхващащ до 100 работни места.

Два метода

Има два основни метода за предоставяне на потребители на корпоративна мрежа с достъп до уеб и FTP услуги: чрез маршрутизиране (излъчване) или чрез прокси сървър.

В първия случай (фиг. 1) достъпът се осигурява от IP адреса на компютъра, на който служителят работи. Такава схема може да бъде напълно приложена въз основа на софтуерно решение- FreeBSD OS gateway и IPFW защитна стена. Освен това има сложни специализирани хардуерни и софтуерни шлюзове. За терминалните работни станции организирането на достъп по IP адреси е технически невъзможно, тъй като всички те използват един и същ IP адрес на терминалния сървър.

За свързване на потребителски работни станции към интернет канала се използва шлюз под формата на x86 сървър с инсталирана на него FreeBSD OS, програмата NATD (предоставяща превод на вътрешни IP адреси към реалния IP адрес на сървъра и обратно), IPFW , активирана маршрутизация и два мрежови интерфейса: единият от тях "гледа" настрани локална мрежа, другият е свързан с доставчика. На всяка клиентска машинаВ свойствата на TCP/IP протокола на мрежовата карта трябва да регистрирате IP адреса на шлюза.

Във втория случай потребителят се упълномощава с помощта на името за вход и паролата, зададени на служителя. Тази опция, по-специално, може да бъде реализирана с помощта на прокси сървъра SQUID и системата за удостоверяване ncsa_auth. Нека разгледаме типична схема (фиг. 2), където SQUID е инсталиран на мрежовия шлюз: сървърът „гледа“ с един интерфейс в локалната мрежа, а другият е свързан към интернет канала. С тази настройка SQUID не изисква NATD или маршрутизиране, за да работи в Интернет (чрез HTTP, FTP и DNS) на машини в локалната мрежа, тъй като SQUID изпраща всички заявки към интернет ресурси „от себе си“ - с IP адрес външен интерфейсшлюз. DNS услугаможе да бъде деактивиран на клиентски компютри, тъй като самият SQUID има достъп до DNS.

Ориз. 2. Достъп до Интернет чрез прокси сървър.

Обикновено корпоративната мрежа използва имейл и все пак ще се нуждае от маршрутизиране и NATD на шлюза, за да работи, но за уеб поща, работеща през HTTP, е достатъчен SQUID прокси сървър.

SQUID предава данни, „изтеглени“ от интернет на потребителя и ги съхранява в своя кеш. Когато заявката се повтори, тези данни се извличат от кеша (ако, разбира се, уеб страницата позволява кеширане), което е много по-бързо и не заема канала за достъп. Освен повече ефективно използванекапацитет на канала, има и спестяване на обема на трафика (според автора, средно на месец е 13%). Данните в кеша може да се актуализират в зависимост от настройките на самия прокси сървър. Когато щракнете върху бутона „Опресняване“ в контролния панел на браузъра, прокси сървърът принудително копира данни от уеб сървъра, дори ако ги има в кеша си и не са остарели (и в същото време ги актуализира в кеша ). Но някои страници в уеб сайтове са специално маркирани като некеширащи се, например, за целите на по-голяма уместност.

В допълнение към самия достъп, системният администратор също трябва да реши проблемите с разрешаването на достъпа, отчитането на трафика и потребителското време в Интернет и гарантирането на сигурността на корпоративната локална мрежа. Необходимо е също така да се определят правилата за разпределяне на честотната лента на интернет канала между потребителите на мрежата и правилата за достъп до интернет ресурси; Може да се наложи да зададете други ограничения за потребителите.

Всички тези процедури, в зависимост от вида на възприетия достъп (чрез IP адрес или чрез прокси сървър), имат свои собствени характеристики.

Удостоверяване

Удостоверяването с помощта на IP адреса на компютъра не осигурява защита с парола за достъп до Интернет. Потребителите, които знаят паролите за достъп до операционната среда на други корпоративни машини, могат да работят различни компютри. Следователно, ако няколко служители използват един компютър за работа в Интернет, е невъзможно да се раздели трафикът им при счетоводство.

Има опция за подправяне на IP адреса; Има обаче и контрамярка - статична ARP таблица (Address Resolution Protocol - протокол за преобразуване на IP адреси в MAC адреси/хардуерни адреси на мрежови карти) на шлюза, където съответствието между IP адреса и MAC адреса на мрежовата карта на работната станция е регистрирана. Като цяло IP удостоверяването няма достатъчна гъвкавост и надеждност и позволява само отчитане на общия обем трафик.

В случай на прокси сървър, потребителите на корпоративната мрежа, които са получили разрешение за достъп до Интернет (HTTP, FTP, ICQ), получават идентификационна двойка: потребителско име и парола. Тази схема също така позволява на различни потребители да имат достъп до интернет от един компютър (основното е, че параметрите на прокси сървъра са посочени в клиентските програми). Записването на трафика ще се съхранява за всеки потребител (вход) поотделно. Удостоверяването се осигурява от прокси сървъра SQUID, работещ с FreeBSD OS, а софтуерната подсистема ncsa_auth съхранява пароли в криптиран MD5 формат. SQUID може да използва различни външни механизми за удостоверяване.

Работата в Интернет чрез прокси сървър трябва да се поддържа от клиентския софтуер: неговите настройки определят DNS или IP адреса на прокси сървъра, както и неговия TCP порт. Всички съвременни браузъри и ICQ клиента поддържат работа чрез прокси сървър и удостоверяване на него. Удостоверяването може да се извършва при всяко свързване (изискват се потребителско име и парола) или да бъде постоянно (не изисква въвеждане на потребителско име и парола, но потребителско име от списъка за удостоверяване на прокси сървъра и парола са посочени в настройките на клиентската програма). Удостоверяването се извършва веднъж и е валидно до затваряне на клиентската програма. Когато приключи сърфирането в интернет, потребителят просто затваря браузъра и по този начин прекратява разрешената сесия.

Отчитане на трафика

Отчитането на трафика за IP адресите на работните станции се извършва с помощта на IPFW, софтуерна защитна стена, вградена в ядрото на FreeBSD OS. За да записват надеждно трафика от потребители с тази схема за достъп, служителите трябва да имат достъп до интернет само от определените им работни станции, което естествено ограничава гъвкавостта и мобилността на тяхната работа.

Въпреки това, този подход има и своето предимство - по-точно отчитане на общия обем трафик по IP протокола. Тази процедура се изпълнява чрез задаване на две правила за COUNT за IPFW защитна стена:

Преброяване на ip от произволен към произволен вход чрез de0 преброяване на ip от произволен към произволен изход чрез de0

Първото правило взема предвид входящия поток, второто - изходящия поток. Тук de0 е външният мрежов интерфейс на шлюза, който има реален IP адрес в Интернет. В същото време с тази схема е невъзможно да се регистрират имената на посетените от потребителите ресурси, както и имената и размерите на изтеглените файлове.

При използване на прокси сървър трафикът се записва с помощта на HTTP протокола и обемът на тези данни е по-малък от обема на IP трафика. Но при удостоверяване от потребител, SQUID записва всички данни за заявки (DNS адреси на сайтове, време на получаване на заявката, обем на изтеглените файлове, източник - SQUID кеш или интернет) в дневника за всеки потребител, независимо от IP адреса на клиентската машина.

Сигурност на интернет връзката

Връзка физически каналИнтернет директно в корпоративната мрежа е равносилно на пренасяне на работните места на вашето предприятие в претъпкана зона. По правило информацията, циркулираща в локална мрежа, е от решаващо значение за работата на предприятието и вредното въздействие на вируси (например имейл вируси), атака отвън или изтичане на данни отвътре може напълно да наруши работата му .

Вредното въздействие на вирусите трудно може да бъде подценено, но решението на този проблем зависи 90% от информираността на потребителите - дали някой ще пусне вирус, прикачен към имейл. Вирусни атакиможе да бъде блокиран и отразен от антивирусни програми на пощенски сървъри (Dr.Web, McAfee, Kaspersky Business Optimal Anti-Virus и др.) и на потребителски компютри ( Norton Antivirus, съответните продукти на Kaspersky Lab и др.). Основното е навременното актуализиране на антивирусните бази данни.

Външните атаки, в зависимост от това как е организирана връзката, се блокират компетентна настройкашлюз, използване на прокси сървър на шлюз без NAT и маршрутизиране, както и преместване на прокси сървъра, пощата и уеб сървъра в „демилитаризирана зона“ (DMZ, подмрежа на корпоративна мрежа, достъпна от интернет).

Течовете на корпоративни данни са предимно от организационно естество и представляват най-трудния проблем за услугата за корпоративна сигурност. Съществуват технически решения, минимизиране на възможността за това: по-специално затваряне на всички TCP/UDP портове на интерфейса на шлюза, който „гледа“ в локалната мрежа (остава само портът на прокси сървъра). Маршрутизирането и преобразуването на адреси (NAT) между интернет и вътрешните („сиви“) IP адреси на корпоративната мрежа трябва да бъдат деактивирани.

Изброените мерки се използват, когато на шлюза е инсталиран прокси сървър, но система с прокси сървър, разположен в DMZ, се счита за по-сигурна.

Повечето пълна защитаосигурява физическо разделяне на локалната корпоративна мрежа и Интернет. В този случай предприятието организира компютърна мрежа за работа в Интернет, която не е свързана с локалната мрежа чрез канали за предаване на информация. Данните, които трябва да бъдат изпратени по имейл, се прехвърлят към сменяеми носители(като компактдискове), които са проверени от служба за сигурност и криптирани, например с помощта на PGP, безплатна програма за криптиране пощенски съобщенияи файлове.

Разпределение на капацитета на канала

За схема за IP достъп, разделянето на честотната лента на канала между потребителите може да се реализира с помощта на каналите на IPFW защитната стена на FreeBSD OS, а в случай на SQUID прокси сървър, може да се използва неговият механизъм delay_pools.

Сървърът определя размера на заявения от потребителя файл и ако този размер не надвишава зададената стойност, тогава файлът се изтегля с максимална възможна скорост. В случай на по-голям файл, той се прехвърля с определена ограничена скорост. Този механизъмне се отнася за всички потребители, а само за изброените в списъците ACL (Списък за контрол на достъпа - именувана група от обекти, към които могат да се прилагат различни ограничения), което ви позволява много гъвкаво да конфигурирате работните приоритети на различни потребителски групи.

В същото време, ако в този моментСамо един потребител работи, той все още ще бъде обект на ограничения на скоростта на изтегляне големи файлове. IPFW, за разлика от delay_pools в SQUID, ви позволява да реализирате динамично разделяне на канали.

Достъп до ресурси и други ограничения

За IP схемата са възможни ограничения само за IP адреси на сървъри и TCP/UDP портове. Това причинява неудобство, тъй като механизмът за виртуални хостове е често срещан днес Уеб сървър Apacheвъз основа на протокола HTTP v1.1, когато един уеб сървър с един IP адрес обслужва много сайтове с различни DNS имена.

SQUID, напротив, предоставя много гъвкави механизми за администриране на потребителски достъп до интернет ресурси, използвайки ACL. Това може да бъде например достъп до определено време, ден от седмицата, месец; разрешение/забрана за копиране на определени типове файлове, разрешение/забрана за достъп до ресурс, чието име съдържа определена ключова дума.

Конфигуриране на IPFW шлюз

Ролята на шлюз е компютър с два мрежови интерфейса (единият е свързан към интернет и има реален IP адрес, а другият „гледа“ към корпоративната мрежа и се идентифицира по IP адреса на своята подмрежа), на който FreeBSD OS е инсталирана (http: //www.freebsd.org). FreeBSD е лесен за настройка, надежден, безплатен и съдържа почти всичко, от което може да се нуждаете мрежов сървърмащаб на предприятието.

Процесът на инсталиране на FreeBSD OS, конфигуриране на мрежови интерфейси, стартиране и конфигуриране на IPFW, NATD, маршрутизиране - като цяло всичко необходимо за конфигуриране на шлюз за достъп до Интернет (както чрез IP, така и чрез SQUID прокси сървър, с изключение на конфигурирането на самия SQUID) е описано подробно в книгата на M. Eben и B. Tyman "FreeBSD. Потребителска енциклопедия" (Киев: Diasoft, 2003).

И за двете опции за организиране на достъп до Интернет трябва да конфигурирате софтуера IPFW. IPFW филтрира и брои IP пакети на всички мрежови интерфейси. Програмата също обработва пакети за повече високи нива: UDP, TCP и ICMP. Освен това IPFW участва в работата на NATD. Авторът препоръчва, когато настройвате ipfw правила, да използвате помощната програма trafshow, за да контролирате повикванията към и от мрежата на всички интерфейси, като посочите IP адреси външни машини, протоколи и портове в реално време. Екип

Trafshow -i fxp0 -n

настройва показването на пакети на интерфейса fxp0 с номера на портове и командата

Ipfw - списък

показва ipfw правилата, броя на пакетите и количеството трафик (в байтове), които са преминали от включването на сървъра или последното нулиране на броячите на правилата.

Внедряване и работа с SQUID

Прокси сървърът за кеширане на SQUID (http://www.squid-cache.org) на платформата Unix е безплатен софтуер с отворен код. Той е лесен за конфигуриране, добре документиран, широко разпространен и лесно се интегрира с FreeBSD OS. SQUID ви позволява да организирате различни видове удостоверяване при достъп до интернет и ограничава достъпа според всеки параметър ( име на домейн, ключова дума в адреса, протокола и т.н.) въз основа на ACL.

При с помощта на SQUIDна шлюза е необходимо да се блокира възможността за локални машини за достъп до външни адреси (и обратно) и да се разреши достъп от локалната мрежа само до порта на прокси сървъра на неговия локален интерфейс. NAT и маршрутизирането на шлюза, ако не са необходими за SMTP или други услуги, също трябва да бъдат деактивирани.

След инсталиране, конфигуриране и стартиране на SQUID и неговата система за оторизация, администраторът може само да добавя и премахва потребители. Достатъчно е да създавате потребителски данни само в SQUID, тъй като той не попада в средата на ОС на прокси сървъра и съответно няма нужда да създавате данни за идентификация на потребител на ОС. След промени в squid.conf или добавяне/премахване на потребители, SQUID трябва да прочете отново своята конфигурация, без да затваря съществуващи потребителски сесии с командата

Squid -k преконфигуриране.

Когато създавате SQUID потребител с помощта на ncsa_auth, трябва да посочите потребителското име и парола в два конфигурационни файла; в нашия пример ще изглежда така:

/usr/local/etc/squid_users /usr/local/etc/passwd

Първият файл просто добавя потребителското име (вход) с нова линияс помощта на текстов редактор. Вторият файл съхранява потребителски пароли (в MD5) и добавете към този файл сметкаТова е възможно само с помощта на помощната програма htpasswd, която идва с уеб сървъра на Apache.

Необходимо е да следите съдържанието на SQUID кеша и периодично да го изчиствате, за да избегнете препълване файлова система- използване на командата squid -Z.

В настройките на клиента в свойствата на браузъра и ICQ клиентиТрябва да посочите IP адреса и порта на прокси сървъра. В нашия пример това е IP:192.168.1.8 и порт 3128 (този порт се използва по подразбиране). Ако ICQ програмаконфигуриран да работи през прокси сървър, той използва 443-ия, а не 5190-ия TCP порт на ICQ сървърите, което също трябва да се вземе предвид при настройката защитни стени. Когато използвате SQUID, е необходимо да блокирате възможността за локални машини за достъп до TCP порт 80 на интернет сървъри. Като цяло можете да разрешите достъп само до порта на прокси сървъра и да го затворите за всички останали, с изключение на пощата, така че „напредналите“ потребители да не отиват в интернет, заобикаляйки SQUID.

Можете да научите за тънкостите на настройката на SQUID на уебсайта http://www.bog.pp.ru/work/squid.html.

Анализ на трафика

За тази цел се използва безплатната програма за анализатор с отворен код SARG (). Резултатът от работата му са HTML страници, които показват всякакви статистически данни за работата на потребителите в Интернет. Целият период на дневника се анализира, така че е по-удобно да направите необходимите срезове в края на месеца и след това да изчистите дневника на SQUID с командата access.log.

Има два вида най-търсени разфасовки. Първо, разпределението на обемите информация, изтеглена от интернет по потребители, обикновено сортирани в низходящ ред на обема (фиг. 3). В същото време се издава и количествена информацияотносно ефективността на кеширането. Това напречно сечение ви позволява да анализирате обема на работа в Интернет като цяло и да класирате потребителите според активността на тяхната работа в Интернет.

Вторият популярен раздел е показването на информация, заредена от конкретен потребител на сайтове (фиг. 4), също сортирана в низходящ ред на обемите данни. Този отрязък ви позволява да разпитате потребителя в Интернет и да разберете дали най-често търсените сайтове отговарят на длъжностните задължения на служителя.

заключения

Разгледахме два варианта за организиране постоянна връзкакорпоративна мрежа към Интернет.

Опцията „въз основа на IP адресите на потребителски компютри, използващи IPFW правила“ има следните недостатъци. Първо, невъзможно е да се провери целесъобразността на работата на потребителя в Интернет, тъй като IPFW отчита само общия трафик за всяко правило, предписано за конкретна машина, и не следи посетените сайтове. Второ, невъзможно е да се упълномощи потребител, който в момента работи в Интернет. Това е особено важно, ако машината е „споделена“ от няколко потребители. И накрая, възможно е потребителят да подмени IP адреса.

Освен това, в случай на използване на терминален сървър, е невъзможно да се вземе предвид трафикът на различни потребители, тъй като всички те работят от един и същ IP адрес на терминалния сървър.

Изброените недостатъци просто отразяват ограниченията на отчитането и администрирането на трафика чрез IP адреси и счетоводната система IPFW. IPFW не е предназначен директно за измерване на трафика на потребителските машини; той е инструмент за отчитане на трафика на канала.

Пълно и цялостно решение на проблема се осигурява от система, използваща шлюз с FreeBSD OS, конфигурирана IPFW защитна стена и SQUID прокси сървър, инсталиран на нея с активирана ncsa_auth автентификация. Използването на кеширащ прокси сървър в корпоративна мрежа ви позволява да спестите до 10% от плащането на месечен трафик и значително да ускорите зареждането на многократно посещавани ресурси.

Целият софтуер, използван в това решение, е безплатен. Разходите за неговата поддръжка са минимални и както показва практиката, системата FreeBSD+SQUID е доста надеждна.

Системата SQUID, поради своята гъвкавост на конфигурацията и наличието на интерфейси за свързване на външни модули, е силно мащабируема. Грешката при отчитане на HTTP трафик в сравнение с IP, присъща на SQUID, не е фундаментална; Много по-важно е, че в този случай е възможно да се организира надежден количествен и качествен мониторинг на работата на потребителите в Интернет с помощта на протоколите HTTP, HTTPS и FTP и да се разграничат правата и приоритетите на достъп.

Прокси сървърът може да работи на машина с доста ниска мощност, например с 1 GHz Celeron процесор, 128 MB памет и харддиск 20 GB (тази конфигурация в момента работи в нашето предприятие, обслужвайки 30 потребители), а ролята на шлюз за IP достъп (FreeBSD, IPFW, NATD) може да се изпълнява от компютър Pentium 166 MHz със 128 MB памет.

Преди да обсъдим удостоверяването на мрежовите потребители, е необходимо да разработим правила за контролиране на достъпа до мрежата. Мрежите вече не са монолитни единици. В повечето случаи има една външна точка за достъп - интернет връзка чрез ISP ( Доставчик на интернет услуги- Доставчик на интернет услуги). Правилата за контрол на достъпа до мрежата ще определят каква защита трябва да бъде инсталирана на входните точки на мрежата.

Шлюзове

Шлюзовеса точките, в които мрежовият трафик се прехвърля от мрежата на една организация към друга мрежа. За точките на шлюза правилата за контрол на достъпа трябва да вземат предвид естеството на мрежата, в която е инсталиран мостът.

• Правила за контрол на достъпа за входящи и изходящи телефонни обаждания (Dial-in и Dial-out). Покрива изискванията за удостоверяване. Скриването на точка за достъп до телефонна мрежа е доста трудно. Следователно е важно да се дефинират контроли за този достъп. Има много съображения относно правилата за достъп, като например създаване на модеми единствено за обработка на изходящи сигнали ( само навън) за изходящ достъп. Необходимо е да се напише клауза за правило, която да предписва използването на подходящи контроли.

  Целият телефонен достъп до мрежата трябва да бъде защитен чрез строги контроли за удостоверяване. Модемите трябва да бъдат конфигурирани за входящ или изходящ достъп, но никога и за двете. Мрежовият администратор трябва да осигури процедури за гарантиран достъп до модемни системи. Потребителите не трябва да инсталират модеми в други точки на мрежата без съответните санкции.

• Други външни връзки. Възможен различни връзкикъм мрежата извън организацията. Правилата могат да предвиждат директен достъп на клиентите до мрежата чрез виртуален частна мрежа VPN(Виртуална частна мрежа) и чрез разширения на мрежата на организация, известна като екстранет.
• интернет връзка. Различни от другите връзки, защото хората искат да имат свободен достъпв интернет, докато разрешението за достъп се предоставя от услугите на организацията. Правилата, управляващи тези връзки, се обсъждат в Глава 6, Правила за сигурност в Интернет.

Както при всички правила, трябва да очаквате, че ще има заявки за промяна на правилата за контрол на достъпа. Независимо от причините, поради които правилата трябва да бъдат коригирани, трябва да е възможно да се правят изключения от правилата чрез механизъм за преглед на правилата. Ако политиката е създала комитет за управление на сигурността (вижте глава 3, Отговорности за информационната сигурност), от комитета може да се изисква да прегледа правилата.

Всеки шлюз, предложен за инсталиране във фирмена мрежа, който може да нарушава правилата или процедурите, предписани от тези правила, не трябва да се инсталира без предварителното одобрение на комитета за управление на сигурността.

Виртуални частни мрежи и екстранет

Увеличаването на броя на мрежите в една организация ни принуждава да търсим нови възможности за свързване на отдалечени офиси, клиенти и опростяване на достъпа за контрагенти на услуги или потенциални контрагенти. Този растеж породи два вида външни връзки: виртуални частни мрежи ( VPN- виртуална частна мрежа) и екстранет. VPN мрежите са евтин начинИнсталирай информационна комуникациямежду две или повече подразделения на една организация, разположени на различни територии. Организациите създават VPN чрез свързване на всички отдели към интернет и инсталиране на устройства, които ще криптират и декриптират информация в двата отдела, комуникиращи помежду си. За потребителите работата през VPN ще изглежда така, сякаш и двата отдела са разположени на една и съща територия и работят в една мрежа.

Проверка на авторитета на спомагателните системи

Преди да продължим, важно е да запомните, че всеки от шлюзовете или поддържащите системи е входна точка в мрежата на организацията. Във всяка входна точка авторитетът на потока от данни, влизащ и излизащ от мрежата, трябва да бъде проверен по някакъв начин. Един въпрос, който трябва да се разгледа, е изискването за разрешение външни връзкикъм спомагателни мрежови системи. Това може да е проблем за спомагателни системи, които са постоянно свързани към мрежата. За такива системи за поддръжка е необходимо да се определи как ще бъде разрешено тяхното присъствие в мрежата. Всъщност дори временните мрежови връзки, като входящи модемни връзки, могат да имат строги изисквания за удостоверяване.

Изискванията за удостоверяване не трябва да се описват в този раздел на правилото – те се обсъждат в следващия раздел, „Сигурност при влизане“. Тук можем само да отбележим необходимостта от изисквания за удостоверяване. Правилата относно стандартите за удостоверяване ще бъдат обсъдени в следващия раздел. Въпреки това, за да се гарантира, че проблемът с удостоверяването е разгледан за спомагателни системи, клаузата за правила за мрежови връзкиможете да добавите следното.

Приложенията, необходими за работа на шлюзовете, трябва да бъдат удостоверени от мрежата. Ако самото приложение не може да бъде удостоверено, правилата за удостоверяване, описани в този документ, трябва да се прилага за спомагателни системи, свързани чрез шлюзове.

Павлов Сергей Системен инженер в Softmart

Тази статия представя най-много популярни методисвързване на офис на малка организация към интернет. Статията не разглежда въпроси за избор на доставчик и въпроси за избор на крайно оборудване за свързване към мрежата. Предполагаме, че доставчикът предоставя на организацията следното:

1. Мрежов интерфейс Ethernet RJ45 - стандарт за мрежово оборудване в локални мрежи
2. IP адрес – един или повече, постоянен или динамичен
3. IP адрес на шлюз и DNS

Нека да дадем и малък портрет на организацията, за която е предназначена тази статия:

1. Брой компютри в мрежата - до 30;
2. Има един онлайн файлов сървърили сървър на корпоративна система за управление;
3. уеб сървъри пощенският сървър на организацията се намира при доставчика, а не в локалната мрежа на предприятието;
4. Интернет каналът ще се използва от служителите предимно за работа с електронна поща и разглеждане на уеб страници;
5. Компютрите и сървърите на организацията трябва да бъдат защитени от неоторизиран достъп през Интернет;

Могат да се споменат и възможни, но рядко срещани състояния:

1. Сигурна връзка на служителите към мрежата на организацията от разстояние – от дома или друг офис;
2. Сигурна връзка на малки офиси, разположени географски;
3. Местоположение на уеб сървър, пощенски сървър или друг сървър вътрешна системауправление в мрежата на организацията с безплатен достъп до тях за служители или клиенти през Интернет;

С този подход се разпределя персонален компютър или сървър за организиране на достъп до Интернет. Сървърът или компютърът е оборудван с доп мрежова карта. Единият от тях се свързва към мрежата на доставчика, а другият към мрежовия комутатор на организацията.
Препоръчително е да стартирате услугата NAT на шлюза - мрежова транслация на IP адреси.

Предимства на това решение:

1. Способността да се използва широк набор от софтуер за решаване на различни проблеми, например:
за защита на сървъра и мрежата от атаки от Интернет;
За антивирусна защитасървър, трафик или електронна поща;
за защита от спам;
за отчитане на трафика;
да управлява достъпа до Интернет от служители на организацията;
2. Достатъчен е един IP адрес от доставчика.
3. Чрез използването на услугата NAT се осигурява достатъчно ниво на защита на локалната мрежа от външни влияния.
4. Ниска ценазащитна стена, тъй като са разрешени решения за персонални компютри.
5. Само шлюзовият компютър е видим от интернет и хакерите могат да атакуват само този компютър. Локалната мрежа, включително сървъри и работни станции, по принцип не е достъпна за тях. По този начин, ако шлюзът се повреди, локалната мрежа на организацията продължава да функционира.

недостатъци

1. Ако шлюзовият компютър се използва и като обикновена работна станция за един от служителите, например въз основа на спестяване на разходи, тогава са възможни сериозни проблеми със сигурността. Потребител, работещ на шлюза, може чрез своите действия да отслаби сигурността на сървъра. Освен това може да има проблеми с производителността на шлюза, тъй като потребителят ще поеме част от мощността на компютъра;
2. Силно не се препоръчва използването на шлюза като файлов сървър на организация поради достъпността на сървъра от Интернет. Необходима е мощна защитна стена (не лична) и работата на много квалифициран специалист за конфигуриране на сигурността на шлюза. Това обаче е много често срещана конфигурация в малки организации;
3. Изисква допълнително закупуване софтуер. Услугата NAT не е включена в операционни системи Windows, различни от Microsoft Windows XP (NAT е внедрен, но с някои ограничения). Цената на защитните стени варира от десетки долари до няколко хиляди. Като минимум е необходима специална програма, която да осигури достъп до интернет на всички потребители на локалната мрежа. (програмата се нарича прокси сървър).
4. Необходимо е допълнително устройство - мрежова карта.

Приблизителни разходи за внедряване на това решение:

С този подход организирането на достъп до Интернет изисква получаване на допълнителен брой IP адреси от доставчика за всеки персонален компютърв локалната мрежа на организацията. Това решение вероятно осигурява най-много бърза връзкаслужители на организацията към Интернет. Това решение обаче рядко се използва, когато в една компания има повече от два компютъра по две причини:
1. Доставчикът е изключително неохотен да разпределя IP адреси и ще ви препоръча да преминете към друга схема за свързване на компютри към интернет.
2. Това решение е потенциално най-малко сигурното по отношение на защитата на вашите данни от неоторизиран достъп и атаки от мрежата.

Предимства:

1. лесна настройкакомпютри.
2. няма нужда от закупуване на допълнителен компютър - шлюз.
3. няма нужда от закупуване на допълнителен софтуер - прокси сървър.

недостатъци:

1. На всеки компютър трябва да бъде инсталирана комплексна система за сигурност.
2. Зависи от способността на доставчика да предостави множество IP адреси
3. Няма статистика за използването на канала

Разходите за пускане на това решение:

За всеки компютър в мрежата:

Организиране на достъп чрез D-LINK устройства

D-Link предлага широка гама от устройства за сигурно свързване на малки организации към интернет. Всички решения могат да бъдат разделени на два големи класа:
1. Рутери от серия DI
2. Защитни стени от серия DFL

Устройствата от семейството DI са специално проектирани за целите и задачите на малки офиси. Те разполагат с цялата необходима функционалност за повече от разумна цена. В зависимост от модела устройствата могат да бъдат оборудвани с:
защитна стена,
точка Wi-Fi достъп,
вграден прокси сървър,
мрежов портвръзки за принтер,
вграден ADSL модем
VPN модул

Всички устройства поддържат:
1. DHCP (функция за динамично присвояване на IP адреси на компютри в мрежата)
2. NAT (функция за динамично преобразуване на IP адреси от вътрешна мрежав интернет IP адреси)
3. Функция виртуален сървърнеобходимо да се организира достъп до локален сървърот Интернет
4. Функцията за защитена зона, необходима за организиране на достъп до няколко локални ресурса от Интернет

Предимства

3. Ниска цена за своя клас.
4. Защита от атаки чрез NAT, + възможност за въвеждане на правила за забрана на домейни, адреси и др.


7. Възможност за създаване на защитени връзки в Интернет (VPN) за комуникация с други офиси.
8. Възможност за организиране на достъп до вътрешни ресурси на локалната мрежа.
9. Възможност за поддръжка на мобилни потребители (Wi-Fi).
10. Възможност за свързване на мрежов принтер.

недостатъци:

2. Има хардуерни ограничения за броя на едновременно работещите служители. DI устройството може да се справи с до 2000 едновременни връзки без забележимо влошаване на производителността.
3. Оборудването е чувствително към атаки отвътре, напр. мрежови вируси. При такива атаки натоварването на устройството рязко се увеличава.
4. Самото устройство е слабо защитено от стандарта мрежови атаки. В този случай тези организации и компютри, като правило, не страдат.
5. Статистиката за използването на канала от служителите не е достатъчно подробна.

Приблизителна цена на решението

Устройствата от семейството DFL вече са с висока производителност защитни стени, оборудван с всички възможни и новомодни решения за защита на локалната мрежа и организационните ресурси от проникване. В зависимост от конкретния модел устройството може да бъде оборудвано например с:
система за откриване на проникване IDS
системи за откриване типични атакии техните отражения
система за управление на честотната лента
система за балансиране на натоварването
VPN

Трябва да изберете модел въз основа на броя компютри в мрежата и изискванията за сигурност. Най-добре е да се свържете с консултант по решения на D-Link за помощ.

Предимства:

1. Хардуерните решения са много надеждни, компактни и непретенциозни.
2. Самите устройства са добре защитени от атаки от Интернет и добре защитават периметъра на локалната мрежа на организацията.
3. Защита срещу мрежови атаки, включително: SYN, ICMP, UDP Flood, WinNuke, сканиране на портове, подправяне, подправяне на адреси, отказ на услуга и др.
4. След като системата е конфигурирана, тя не изисква допълнителна настройка.
5. Няма специален шлюз компютър.
6. Лесна инсталация и конфигурация.
7. Ниска цена за своя клас.
8. Възможност за създаване на защитени връзки в Интернет (VPN) за комуникация с други офиси.
9. Възможност за организиране на достъп до вътрешни ресурси на локалната мрежа.

недостатъци:

1. Настройката трябва да се извърши от квалифициран техник.
2. Статистиката за използването на канала от служителите не е достатъчно подробна.

Приблизителна цена на решението

Заключение

С цялото богатство на избор ни се струва, че най-много оптимално решениеза малка организация все още има решение, базирано на един от моделите D-Link устройства DI семейство. Устройствата са прости, компактни, достъпни и доста функционални. Единственото нещо, за което DI решенията могат да бъдат упрекнати, е липсата на някои възможности на прокси сървъри, например статистика за обема на изтеглената информация за служителите. В края на краищата именно тези данни по правило се използват от доставчиците за таксуване за използване на канала. Ако тази функция е жизненоважна за вашата организация, тогава трябва допълнително да помислите за закупуване на прокси сървър, например UserGate от eSafeLine. Само не забравяйте, че прокси сървърът ще изисква закупуването на допълнителен компютър.

Отдалечен контрол на достъпа до интернет (родителски контрол)

Това ръководство описва процеса на настройка на компютри, работещи с операционни системи Семейство Windows XP, 7 или Linux (Ubuntu) за дистанционнодостъп до интернет сайтове.

Ръководството не описва подробно как да работите с услугата Rejector, която ще бъде разгледана по-долу, тя ви позволява само да конфигурирате компютъра си по такъв начин, че да се възползвате напълно от неговите възможности.

Всички използвани инструменти са безплатен софтуер или софтуер с отворен код.

Въведение

Интернет е отличен инструмент за учене, почивка или общуване с приятели. Но освен това в мрежата полезна информация, има и нещо нежелано за детето ви. Освен това сърфирането в интернет в продължение на много часове може да ви отвлече от други важни дейности, като домашна работа, спорт, сън или общуване с връстници. Ето защо е необходимо да се наблюдават онлайн дейностите на детето.

Има много различни методиконтрол, но те не винаги са ефективни. Убеждаването и образователните разговори могат да работят за много кратко време, защото престоят в интернет може да увлече детето толкова много, че то да забрави за всички убеждавания. А забраните могат да повлияят негативно на развитието на полезни умения за търсене и учене в интернет.

В такива случаи те ще ви помогнат специални програмиза ограничаване и контрол на достъпа до мрежата. С тяхна помощ можете да предпазите детето си от негативни влиянияИнтернет, но в същото време предоставят свобода на действие. Един такъв инструмент е Rejector Internet Access Control System.

Rejector е централизиран проект за контрол на достъпа до интернет. Това ще ви позволи да защитите децата и тийнейджърите от опасна информация. По същество Rejector е DNS сървър с възможност за дистанционно управление.

Как работи?

Регистрирате се, добавяте вашия IP, конфигурирате настройките за достъп. Можете да използвате услугата без регистрация, но тогава няма да можете да използвате всички нейни функции.

Вашите компютри са конфигурирани така, че всичко DNS заявкибяха изпратени до DNS сървъри на Rejector 95.154.128.32 и 176.9.118.232.

Всяка заявка се проверява спрямо вашите настройки, като блокирани категории или сайтове, разрешени или блокирани сайтове, списъци с отметки или измамни сайтове, и ако е блокирана, заявката се пренасочва към страницата за блокиране.

Можете да персонализирате тази страница, както желаете.

Разрешените заявки, които преминат проверката, отиват в споделения кеш на заявките за бързо издаванена всички клиенти.

| Повече ▼ Подробно описаниеМожете да намерите продукта Rejector на официалния уебсайт rejector.ru

Инструкции за настройка на системата

1. Създайте потребител с нормални права

Обикновено при инсталиране на операционна система се създава потребител с права на администратор. Такъв потребител може да произвежда всичко възможни действия, предоставени от операционната система, докато самата система не бъде премахната.

За да изключим обратимостта на всички наши по-нататъшни действияот страната на потребителя, който поемаме контрола, ще създадем потребител с ограничени права, а за Администратор - ще използваме парола.

В Windows това става през контролния панел; В Linux създаването на потребител е достъпно чрез системните настройки.

2. Настройте мрежова връзка

Rejector е услуга, която по същество е DNS сървър. За да работите с него, първо трябва да го конфигурирате мрежова връзкатака че DNS заявките да се изпращат до DNS сървърите на Rejector 95.154.128.32 и 176.9.118.232.

Това се прави по различен начин в Windows и Linux.

Уиндоус експи

Windows Vista

Подробни инструкции се намират на

Windows 7

Подробни инструкции се намират на

Повечето операционни системи Linux използват програмата Network Manager за конфигуриране на мрежата. За да промените DNS сървъра, направете следното:

Натиснете RMB върху индикатора за връзка и влезте контекстно меню, изберете елемента Промяна на връзката

Ако използвате DHCP сървъркогато се свързвате с интернет, тогава в параметрите на IPv4 променяме Метод на настройкаНа Автоматично (DHCP, само адрес)

В полето DNS сървъри въведете два адреса, разделени със запетаи 95.154.128.32, 176.9.118.232

Осъществяване на връзка Достъпно за всички потребителиИ Автоматично свързан

3. Регистрирайте се на уебсайта на Rejector

По принцип оттук можем да започнем. Но сега, когато една от трудностите е зад гърба ни, ние правим това лесно и просто. Следвайте линка и попълнете проста формаза регистрация.

4. Добавете управлявана мрежа

Регистрирайки се в услугата, можем да създадем необходимия брой мрежи или, което по принцип е едно и също - клиенти, които ще управляваме. Мрежите (клиентите) се идентифицират в услугата чрез техния IP адрес. Следователно, за да контролирате интернет достъпа на компютър, трябва да знаете неговия IP адрес. Засега нека просто създадем мрежа чрез контролния панел на уебсайта на Rejector на.

Попълнете формуляра за добавяне на мрежа. Име на мрежата -тук можете да посочите името на вашето дете, ако то има собствен компютър и искате да го контролирате. Статус- най-вероятно ще имате Динамичен IP адрес(редки доставчици предоставят статичен адрес за своите клиенти безплатно), така че избираме този превключвател. ID на мрежата- можете да напишете на латиница името, което сте посочили в първото поле.

5. Изпращане на IP адрес

За да работи услугата, тя трябва постоянно да „знае“ IP адреса на клиента, който може да се променя от връзка на връзка (Динамичен IP адрес). Това е основният проблем, който разглежда това ръководство.

Самите разработчици на услуги предлагат програмата Rejector Agent, която изпраща IP адреса на клиента до сървъра. Но тази програма не може да работи автономно. Затова ще се възползваме и от другата предоставена възможност. А именно актуализиране чрез HTTP заявка (описание на връзката).

За да актуализирате информацията за клиента чрез HTTP заявка в заден план, имаме нужда от програмата Curl. Тази програма може да изпраща HTTP кастинги към интернет чрез командния ред. Ще зададем параметрите за тази програма в скрипта; за Windows това ще бъде bash файл за Linux - sh.

Curl е свободно достъпен и има версия за Windows, така че ще го използваме и в двете среди. За Най-новият WindowsВерсията на програмата може да бъде изтеглена от линка. За да инсталирате, просто разопаковайте съдържанието на получения архив в папката C:\WINDOWS\SYSTEM32 (това ще улесни стартирането на програмата). IN операционна системаСемейство Linux, най-вероятно вече ще бъде инсталирано.

6. Скрипт за редовно обновяване на IP адреса

Сайтът предлага следната HTTP заявка http://потребителско име: [имейл защитен]/ни...,
което ще актуализира стойността на IP адреса. Ще го заменим като параметър за програмата curl.

Заявката за актуализиране на адреса трябва да бъде изпратена от компютъра, който искаме да контролираме. Поради факта, че текстовият терминал обработва командите по специален начин, текстът на заявката трябваше да бъде леко променен. Текстът на скрипта за Windows и Linux е даден по-долу.

За Windows

: цикъл
къдря "http:// вход%%40mail-server.com:парола@updates.rejector.ru/nic/update?hostname= мрежово име"
# Направете забавяне от 300 секунди
ping -n 300 127.0.0.1 > NUL
ехо 111
goto цикъл

Където login%%40mail-server.com е ваше Пощенска кутия, който беше използван за регистрация в Rejector (знакът @ беше заменен с %%40); парола - парола; net-name — име на мрежата в услугата Rejector Поставете текста на скрипта в обикновен текстов файл, заменете разширението с .bat и ще получите изпълним скрипт.

За Linux

#! /usr/bin/sh
докато е вярно; правя къдря -u [имейл защитен]:password "http://updates.rejector.ru/nic/update?hostname=... sleep 300; готово;

Всичко тук е подобно на записа за Windows. Запишете този текст в текстов файл с разширение sh.

И двата скрипта съдържат паролата за акаунта на Rejector отворена форма, така че е необходимо съдържанието им да се скрие от гледане за редовен потребител. Това се прилага по различен начин в Linux и Windows

За да забраните разглеждането и редактирането на този създаден от нас, е необходимо да промените собственика и групата на файла на root и да откажете на всички, освен на собственика, достъп до файла. Ако имате умения за работа командна линия, тогава трябва да използвате командата CDв директорията със скрипт файла и изпълнете командата chown корен: корен skcrypt.shИ chmod 700 script.sh.,За да направите същото в графичната обвивка, първо трябва да стартирате файлов мениджърс администраторски права, намерете скриптовия файл и променете права,с помощта на контекстното меню.

Без да навлизам в това как можете да промените правата за достъп до файлове, подобно на Linux, приложих следното решение. Нека трансформираме нашите изпълним файлкъм EXE файл, за да скриете съдържанието му. За целта ще използваме безплатна програма Конвертор на Bat към Exe. Предлагам да изтеглите неговата русифицирана версия от връзката или на официалния уебсайт на програмата. Програмата не изисква никакви обяснения при работа. На входа поставяме нашия bat файл, на изхода получаваме exe файл.

7. Настройте го да стартира автоматично

Остава да се направи последна стъпка. Нека накараме програмата да стартира автоматично при стартиране на системата. Това се прави по различен начин в Linux и Windows.

Влизаме като администратор и преместваме нашия изпълним файл.exe в папката PogramFiles. В домашната директория на потребителя намерете папката Главно меню, в него Програми, Автоматично стартиранекъдето поставяме прекия път от нашата програма (това може да стане, като плъзнете самата програма, като задържите Клавиш Shift). Готов.

Поставете изпълнимия файл в папката /usr/bin. Нека редактираме стартовия файл локални приложениясистеми /etc/rc.local, добавяйки ред в него преди изход 0.

/usr/bin/script.sh

Където script.sh- името на нашия файл.

Това завършва настройката на системата. Можете да отидете в услугата Rejector и да конфигурирате режима на работа на мрежата.