Standardní řešení pro organizaci přístupu k internetu pro malé organizace. Přehled funkčnosti. Vytvořme uživatele s normálními právy

Standardní řešení pro organizaci přístupu k internetu pro malé organizace. Přehled funkčnosti. Vytvořme uživatele s normálními právy

Přihlášky: 4

Vzdálená kontrola přístupu k internetu (rodičovská kontrola)

Tato příručka popisuje proces nastavení počítačů s operačními systémy Windows XP, 7 nebo Linux (Ubuntu). dálkové ovládání přístup k internetovým stránkám.

Manuál podrobně nepopisuje, jak pracovat se službou Rejector, o které bude řeč dále, pouze umožňuje nakonfigurovat počítač tak, abyste plně využili jejích možností.

Všechny použité nástroje jsou bezplatné nebo open source software.

Úvod

Internet je výborným nástrojem pro studium, odpočinek nebo komunikaci s přáteli. Jenže kromě užitečných informací na internetu jsou pro vaše dítě i informace nežádoucí. Mnohohodinové surfování na internetu vás navíc může odvést od jiných důležitých činností, jako jsou domácí úkoly, sport, spánek nebo socializace s vrstevníky. Proto je nutné sledovat online aktivity dítěte.

Existuje mnoho různých způsobů kontroly, ale ne vždy jsou účinné. Přemlouvání a výchovné rozhovory mohou fungovat velmi krátce, protože pobyt na internetu dokáže dítě uchvátit natolik, že na veškeré přesvědčování zapomene. A zákazy mohou negativně ovlivnit rozvoj užitečných dovedností pro vyhledávání a učení na internetu.

V takových případech vám pomohou speciální programy pro omezení a kontrolu přístupu do sítě. S jejich pomocí můžete ochránit své dítě před negativní vlivy Internet, ale zároveň poskytují svobodu jednání. Jedním z takových nástrojů je Rejector Internet Access Control System.

Rejector je centralizovaný projekt pro řízení přístupu k internetu. Umožní vám chránit děti a dospívající před nebezpečnými informacemi. Rejector je v podstatě DNS server se schopností ovládat jej na dálku.

Jak to funguje?

    Zaregistrujete se, přidáte svou IP, nakonfigurujete nastavení přístupu. Službu můžete používat bez registrace, ale pak nebudete moci využívat všechny její funkce.

    Vaše počítače jsou nakonfigurovány tak, že vše DNS dotazy byly odeslány na servery Rejector DNS 95.154.128.32 a 176.9.118.232.

    Každý požadavek je porovnán s vaším nastavením, jako jsou blokované kategorie nebo weby, povolené nebo blokované weby, seznamy záložek nebo podvodné weby, a pokud je požadavek zablokován, je přesměrován na blokovací stránku.

    Tuto stránku si můžete upravit, jak chcete.

    Povolené požadavky, které projdou kontrolou, přejdou do mezipaměti obecných požadavků pro rychlé doručení všem klientům.

Více Detailní popis Produkt Rejector najdete na oficiálních stránkách odmítnutí.ru

Pokyny pro nastavení systému

1. Vytvořte uživatele s normálními právy

Obvykle se při instalaci operačního systému vytvoří uživatel s právy správce. Takový uživatel může provádět všechny možné akce poskytované operačním systémem, včetně smazání samotného systému.

Abychom vyloučili vratnost všech našich další akce na straně uživatele, nad kterým převezmeme kontrolu, vytvoříme uživatele se kterým omezená práva, a pro Administrátora - použijeme heslo.

V systému Windows se to provádí prostřednictvím Ovládacích panelů; PROTI Tvorba Linuxu uživatel je dostupný přes Nastavení systému.

2. Nastavte síťové připojení

Rejector je služba, která je v podstatě serverem DNS. Chcete-li s ním pracovat, musíte nejprve nakonfigurovat síťové připojení tak, aby byly požadavky DNS zasílány na servery Rejector DNS 95.154.128.32 a 176.9.118.232.

Ve Windows a Linuxu se to dělá jinak.

Windows XP

Windows Vista

Podrobné pokyny najdete na

Windows 7

Podrobné pokyny najdete na

Většina operačních systémů Linux používá ke konfiguraci sítě program Network Manager. Chcete-li změnit server DNS, postupujte takto:

    Klepněte pravým tlačítkem myši na indikátor připojení a v místní nabídce vyberte položku Změňte připojení

    Pokud používáte DHCP server při připojení k internetu pak v parametrech IPv4 měníme Způsob nastavení na Automaticky (DHCP, pouze adresa)

    V terénu DNS servery zadejte dvě adresy oddělené čárkami 95.154.128.32, 176.9.118.232

    Navázání spojení Dostupné všem uživatelům A Automaticky připojeno

3. Zaregistrujte se na webu Rejector

Zde bychom v zásadě mohli začít. Ale teď, když je jedna z obtíží za námi, děláme to snadno a jednoduše. Klikněte na odkaz a vyplňte jednoduchý registrační formulář.

4. Přidejte spravovanou síť

Registrací do služby můžeme vytvořit požadovaný počet sítí nebo, což je v zásadě totéž - klientů, které budeme spravovat. Sítě (klienti) jsou ve službě identifikovány podle jejich IP adresy. Proto, abyste mohli ovládat přístup počítače k ​​internetu, musíte znát jeho IP adresu. Prozatím vytvoříme síť prostřednictvím ovládacího panelu na webu Rejector na adrese.

Vyplňte formulář Přidat síť. Jméno sítě - zde můžete uvést jméno svého dítěte, pokud má vlastní počítač a chcete jej ovládat. Postavení- s největší pravděpodobností budete mít Dynamická IP adresa(vzácný poskytovatel alokuje pro své klienty Statická adresa zdarma), tak vyberte tento přepínač. ID sítě- můžete napsat latinkou jméno, které jste uvedli v prvním poli.

5. Odeslání IP adresy

Aby služba fungovala, potřebuje neustále „znat“ IP adresu klienta, která se může připojení od připojení měnit (Dynamická IP adresa). Toto je hlavní problém, který tato příručka řeší.

Sami vývojáři služeb nabízejí program Rejector Agent, který posílá IP adresu klienta na server. Tento program však nemůže fungovat samostatně. Proto využijeme další nabízenou příležitost. A to aktualizace pomocí HTTP požadavku (popis v odkazu).

K aktualizaci klientských informací prostřednictvím HTTP požadavku na pozadí potřebujeme program Curl. Tento program je schopen odesílat přetypování HTTP na internet přes příkazový řádek. Parametry pro tento program nastavíme ve skriptu; pro Windows to bude bash soubor pro Linux - sh.

Curl je volně dostupný a má verzi pro Windows, takže jej budeme používat v obou prostředích. Pro Windows Nejnovější verze Programy lze stáhnout z odkazu. Pro instalaci stačí rozbalit obsah výsledného archivu do složky C:\WINDOWS\SYSTEM32 (to usnadní spuštění programu). V operačním systému Linux bude s největší pravděpodobností již nainstalován.

6. Skript pro pravidelnou aktualizaci IP adresy

Stránka nabízí následující požadavek HTTP http://uživatelské jméno: [e-mail chráněný]/ni...,
který aktualizuje hodnotu IP adresy. Nahradíme jej jako parametr pro program curl.

Požadavek na aktualizaci adresy musí být odeslán z počítače, který chceme ovládat. Vzhledem k tomu, že textový terminál zpracovává příkazy speciálním způsobem, musel být text požadavku mírně změněn. Text skriptu pro Windows a Linux je uveden níže.

Pro Windows

:smyčka
curl "http:// login%%40mail-server.com:Heslo@updates.rejector.ru/nic/update?hostname= síťový název"
# Proveďte zpoždění 300 sekund
ping -n 300 127.0.0.1 > NUL
echo 111
goto loop

Kde login%%40mail-server.com je vaše Poštovní schránka, který byl použit k registraci na Rejector (znak @ byl nahrazen %%40); heslo - heslo; net-name — název sítě ve službě Rejector Umístěte text skriptu do běžného textový soubor, nahraďte příponu .bat a získáte spustitelný skript.

Pro Linux

#! /usr/bin/sh
zatímco pravdivý; dělat curl -u [e-mail chráněný]:heslo "http://updates.rejector.ru/nic/update?hostname=... spánek 300; hotovo;

Vše je zde podobné jako u položky pro Windows. Napište tento text do textového souboru s příponou sh.

Oba skripty obsahují heslo k účtu Rejector ve formě čistého textu, takže je nutné skrýt jejich obsah před zobrazením běžný uživatel. To je implementováno odlišně v Linuxu a Windows

Aby bylo možné zakázat prohlížení a úpravy tohoto námi vytvořeného, ​​je nutné změnit vlastníka a skupinu souboru na root a odepřít všem kromě vlastníka přístup k souboru. Pokud máte dovednosti příkazového řádku, musíte použít příkaz CD do adresáře se souborem skriptu a spusťte příkaz chown root:root skcryptt.sh A chmod 700 skript.sh.,Udělat totéž v grafický shell, musíte jej nejprve spustit správce souborů s právy správce najděte soubor skriptu a změňte jej práva, pomocí kontextového menu.

Aniž bych se zabýval tím, jak můžete změnit přístupová práva k souborům podobně jako Linux, použil jsem následující řešení. Pojďme transformovat naše spustitelný soubor do souboru EXE, abyste skryli jeho obsah. K tomuto účelu použijeme bezplatný program Převodník Bat To Exe. Navrhuji stáhnout jeho rusifikovanou verzi z odkazu nebo na oficiálních stránkách programu. Program nevyžaduje žádné vysvětlení v provozu. Na vstup vložíme náš bat soubor, na výstup dostaneme exe soubor.

7. Nastavte automatické spouštění

Zbývá udělat poslední krok. Pojďme na to automatický start programy spolu se spouštěním systému. V Linuxu a Windows se to dělá jinak.

Přihlásíme se jako správce a přesuneme náš spustitelný soubor.exe do složky PogramFiles. V domovském adresáři uživatele vyhledejte složku Hlavní menu, v něm Programy, Autorun kam umístíme zástupce z našeho programu (to lze provést přetažením samotného programu za současného držení klávesy Shift). Připraveno.

Umístěte spustitelný soubor do složky /usr/bin. Upravme spouštěcí soubor lokální aplikace systémy /etc/rc.local, přidáním řádku před výstup 0.

/usr/bin/script.sh

Kde skript.sh- název našeho souboru.

Tím je nastavení systému dokončeno. Můžete přejít do služby Rejector a nakonfigurovat síťový provozní režim.

Pavlov Sergey Systémový inženýr ve společnosti Softmart

Tento článek představuje nejoblíbenější způsoby připojení kanceláře malé organizace k internetu. Článek neřeší otázky výběru poskytovatele a otázky výběru koncového zařízení pro připojení k síti. Předpokládáme, že poskytovatel poskytuje organizaci následující:

1. Síťové rozhraní Ethernet RJ45 - standard pro síťová zařízení v lokálních sítích
2. IP adresa – jedna nebo více, trvalá nebo dynamická
3. IP adresa brány a DNS

Uveďme také malý portrét organizace, které je tento článek určen:

1. Počet počítačů v síti - až 30;
2. Jeden je online souborový server nebo server podnikového systému řízení;
3. webový server a poštovní server organizace je hostován poskytovatelem, nikoli v lokální síť podniky;
4. Internetový kanál budou zaměstnanci využívat především pro práci s elektronickou poštou a prohlížení webových stránek;
5. Počítače a servery organizace musí být chráněny před neoprávněným přístupem přes internet;

Lze také zmínit možné, ale zřídka se vyskytující stavy:

1. Bezpečné připojení zaměstnanců k síti organizace na dálku – z domova nebo jiné kanceláře;
2. Zabezpečené připojení malé kanceláře geograficky rozptýlené;
3. Umístění webového serveru, poštovního serveru nebo libovolného serveru vnitřní systém správa v rámci sítě organizace s volným přístupem pro zaměstnance nebo klienty přes internet;

S tímto přístupem je k organizaci přístupu k internetu přidělen osobní počítač nebo server. Server nebo PC je vybaveno přídavnou síťovou kartou. Jeden z nich se připojuje k síti poskytovatele, druhý k síťovému přepínači organizace.
Na bráně je vhodné spustit službu NAT - síťové vysílání IP adresy.

Výhody tohoto řešení:

1. Schopnost používat širokou škálu softwaru k řešení různých problémů, například:
chránit server a síť před útoky z internetu;
Pro antivirová ochrana server, provoz nebo e-mail;
chránit před spamem;
pro počítání provozu;
řídit přístup zaměstnanců organizace k internetu;
2. Stačí jedna IP adresa od poskytovatele.
3. Dostatečná úroveň ochrany místní sítě před vnější vlivy pomocí služby NAT.
4. Nízká cena firewallu, protože řešení pro osobní počítače jsou povolena.
5. Z internetu je viditelný pouze počítač s bránou a hackeři mohou napadnout pouze tento počítač. Místní síť včetně serverů a pracovních stanic pro ně z principu není přístupná. Pokud tedy brána selže, místní síť organizace nadále funguje.

Nedostatky

1. Pokud je počítač brány na základě úspory nákladů využíván např. i jako běžná pracovní stanice některého ze zaměstnanců, pak je možné vážné problémy bezpečně. Uživatel pracující na bráně může svým jednáním oslabit zabezpečení serveru. Kromě toho mohou nastat problémy s výkonem brány, protože uživatel bude odebírat část energie počítače;
2. Důrazně se nedoporučuje používat bránu jako souborový server organizace kvůli dostupnosti serveru z internetu. Je vyžadován výkonný firewall (ne osobní) a práce velmi kvalifikovaného specialisty na konfiguraci zabezpečení brány. Toto je však velmi běžná konfigurace v malých organizacích;
3. Vyžaduje další nákup software. Služba NAT není součástí operačního systému Systémy Windows, až na Microsoft Windows XP (implementován NAT, ale s určitými omezeními). Náklady na firewally se pohybují od desítek dolarů až po několik tisíc. Minimálně je to vyžadováno speciální program poskytovat přístup k internetu všem uživatelům lokální sítě. (program se nazývá proxy server).
4. Povinné přídavné zařízení- LAN karta.

Přibližné náklady na implementaci tohoto řešení:

Osobní počítač - brána

$40 0

Proxy server

UserGate 3.0 (10 relací)

$ 129

Firewall

Kaspersky AntiHacker

$39

Přídavná síťová karta

D-Link DFE-530TX

$10

Služby přizpůsobení

Softmart

$70

Celkový

$648

S tímto přístupem organizace přístupu k internetu vyžaduje získání dodatečného počtu IP adres od poskytovatele pro každou z nich osobní počítač na lokální síti organizace. Toto řešení poskytuje asi nejvíce rychlé připojení zaměstnanců organizace na internet. Toto řešení se však zřídka používá, pokud jsou ve společnosti více než dva počítače, a to ze dvou důvodů:
1. Poskytovatel se extrémně zdráhá přidělovat IP adresy a doporučí vám přejít na jakékoli jiné schéma připojení počítačů k internetu.
2. Toto řešení je potenciálně nejméně bezpečné z hlediska ochrany vašich dat před neoprávněným přístupem a útoky ze sítě.

výhody:

1. snadné nastavení počítače.
2. není třeba kupovat přídavný počítač- Brána.
3. není třeba kupovat další software - proxy server.

nedostatky:

1. Na každém počítači musí být nainstalován komplexní bezpečnostní systém.
2. Závisí na schopnosti poskytovatele poskytnout více IP adres
3. Žádné statistiky využití kanálu

Náklady na vydání tohoto řešení:

Pro každý počítač v síti:

Firewall

Kaspersky AntiHacker

$39

Nastavení

Softmart

$10

Celkový

$49

Organizace přístupu pomocí zařízení D-LINK

D-Link nabízí široký rozsah zařízení pro zabezpečené připojení malé organizace na internet. Všechna řešení lze rozdělit do dvou velkých tříd:
1. Směrovače řady DI
2. Firewally řady DFL

Zařízení rodiny DI byly speciálně navrženy pro účely a úkoly malých kanceláří. Mají všechny potřebné funkce za více než rozumnou cenu. V závislosti na modelu mohou být zařízení vybavena:
firewall,
Wi-Fi přístupový bod,
vestavěný proxy server,
síťový port připojení tiskárny,
vestavěný ADSL modem
modul VPN

Všechna zařízení podporují:
1. DHCP (funkce dynamického přidělování IP adres počítačům v síti)
2. NAT (funkce dynamického překladu IP adres z vnitřní síť v internetových IP adresách)
3. Funkce virtuálního serveru nezbytná pro organizaci přístupu lokální server z internetu
4. Funkce Secure Zone, nezbytná pro organizaci přístupu k několika místním zdrojům z Internetu

Výhody



3. Nízká cena na svou třídu.
4. Ochrana před útoky z pomocí NAT, + možnost zavést pravidla pro zakazování domén, adres atp.


7. Možnost vytvářet zabezpečené připojení na internetu (VPN) pro komunikaci s jinými kancelářemi.
8. Možnost organizace přístupu k vnitřním zdrojům lokální sítě.
9. Schopnost podporovat mobilní uživatele (Wi-Fi).
10. Možnost připojení síťové tiskárny.

nedostatky:


2. Existují hardwarová omezení počtu současně pracujících zaměstnanců. DI zařízení zvládne až 2000 současných připojení bez znatelného snížení výkonu.
3. Zařízení je citlivé na útoky zevnitř, např. síťové viry. S takovými útoky se zatížení zařízení prudce zvyšuje.
4. Samotné zařízení je špatně chráněno před standardem síťové útoky. V tomto případě tyto organizace a počítače zpravidla netrpí.
5. Statistiky o využívání kanálu zaměstnanci nejsou dostatečně podrobné.

Přibližná cena řešení

D-Link DI-604

D-Link

Nastavení

Softmart

Celkový

Zařízení rodiny DFL jsou již vysoce výkonné firewally vybavené všemi myslitelnými a novými řešeními pro ochranu místní sítě a organizačních zdrojů před narušením. Záleží na konkrétní model Zařízení může být vybaveno například:
Systém detekce narušení IDS
systémy pro detekci typických útoků a jejich odražení
systém řízení šířky pásma
systém vyrovnávání zátěže
VPN

Musíte vybrat model na základě počtu počítačů v síti a požadavků na zabezpečení. Pro pomoc je nejlepší kontaktovat konzultanta D-Link Solutions Consultant.

výhody:

1. Hardwarová řešení jsou velmi spolehlivá, kompaktní a nenáročná.
2. Samotná zařízení jsou dobře chráněna před útoky z internetu a dobře chrání perimetr místní sítě organizace.
3. Ochrana proti síťovým útokům, včetně: SYN, ICMP, UDP Flood, WinNuke, skenování portů, spoofing, podvržení adresy, odmítnutí služby atd.
4. Jakmile je systém nakonfigurován, nevyžaduje další ladění.
5. Neexistuje žádný vyhrazený počítač brány.
6. Lehká instalace a nastavení.
7. Nízká cena na svou třídu.
8. Možnost vytvoření zabezpečeného připojení na internetu (VPN) pro komunikaci s jinými kancelářemi.
9. Možnost organizace přístupu k vnitřním zdrojům lokální sítě.

nedostatky:

1. Nastavení musí provést kvalifikovaný technik.
2. Statistiky o využívání kanálu zaměstnanci nejsou dostatečně podrobné.

Přibližná cena řešení

D-Link DFL-100

D-Link

$200

Nastavení

Softmart

Celkový

$230

Závěr

Při veškerém bohatství výběru se nám zdá, že nejvíce optimální řešení pro malou organizaci stále existuje řešení založené na jednom z modelů zařízení D-Link z rodiny DI. Zařízení jsou jednoduchá, kompaktní, cenově dostupná a docela funkční. Jediné, co lze DI řešením vytknout, je absence některých schopností proxy serverů, například statistiky objemu stažených informací o zaměstnancích. Koneckonců jsou to tato data, která poskytovatelé zpravidla používají k účtování za použití kanálu. Pokud je tato funkce pro vaši organizaci životně důležitá, měli byste navíc zvážit zakoupení proxy serveru, například UserGate od eSafeLine. Jen nezapomeňte, že proxy server bude vyžadovat zakoupení dalšího počítače.

Před diskusí o autentizaci uživatelů sítě je nutné vytvořit pravidla pro řízení přístupu do sítě. Sítě již nejsou monolitické entity. Ve většině případů je k dispozici jeden externí přístupový bod – připojení k internetu prostřednictvím ISP ( Poskytovatel internetu- Poskytovatel internetu). Pravidla řízení přístupu k síti určí, jaké zabezpečení musí být nainstalováno na vstupních bodech sítě.

Brány

Brány jsou body, ve kterých síťový provoz budou přenášeny ze sítě organizace do jiné sítě. U bodů brány musí pravidla řízení přístupu brát v úvahu povahu sítě, na které je most nainstalován.

  • Pravidla řízení přístupu pro příchozí a odchozí telefonní hovory (Dial-in a Dial-out). Pokrývá požadavky na autentizaci. Skrýt přístupový bod telefonní sítě je poměrně obtížné. Proto je důležité definovat ovládací prvky pro tento přístup. Existuje mnoho úvah týkajících se pravidel přístupu, jako je vytvoření modemů pouze pro zpracování odchozích signálů ( pouze ven) pro vytáčený přístup. Je nutné sepsat pravidlo, které bude předepisovat použití vhodných kontrol.

    Veškerý telefonní přístup k síti musí být zabezpečen pomocí silných autentizačních kontrol. Modemy musí být nakonfigurovány buď pro telefonický přístup, nebo pro telefonický přístup, nikdy však pro oba. Správce sítě musí poskytnout postupy pro zaručený přístup k modemovým systémům. Uživatelé by neměli instalovat modemy na jiná místa v síti bez příslušných sankcí.

  • Další externí připojení. Možný různá spojení do sítě zvenčí organizace. Pravidla mohou stanovit přímý přístup klientů do sítě prostřednictvím virtuálu privátní síť VPN(Virtual Private Network) a prostřednictvím rozšíření sítě organizace známých jako extranety.
  • připojení k internetu. Liší se od ostatních připojení, protože lidé chtějí mít otevřený přístup k internetu, zatímco povolení k přístupu poskytují služby organizace. Pravidla, jimiž se tato připojení řídí, jsou popsána v kapitole 6, Pravidla zabezpečení Internetu.

Stejně jako u jiných pravidel byste měli očekávat, že se objeví požadavky na změnu pravidel řízení přístupu. Bez ohledu na důvody, proč je třeba pravidla upravit, by mělo být možné udělovat výjimky z pravidel prostřednictvím mechanismu přezkumu pravidel. Pokud politika zřídila výbor pro řízení bezpečnosti (viz kapitola 3, Odpovědnosti za bezpečnost informací), může být výbor požádán, aby pravidla přezkoumal.

Žádná brána navržená k instalaci v podnikové síti, která může porušovat pravidla nebo postupy předepsané těmito pravidly, by neměla být instalována bez předchozího souhlasu bezpečnostního řídícího výboru.

Virtuální privátní sítě a extranety

Nárůst počtu sítí v organizaci nás nutí hledat nové možnosti propojení vzdálených poboček, klientů a zjednodušení přístupu pro protistrany služeb nebo potenciální protistrany. Tento růst dal vzniknout dvěma typům externí připojení: virtuální privátní sítě ( VPN- Virtuální privátní síť) a extranety. VPN jsou levným způsobem instalace informační komunikace mezi dvěma nebo více divizemi organizace sídlícími na různých územích. Organizace vytvářejí VPN připojením všech oddělení k internetu a instalací zařízení, která budou šifrovat a dešifrovat informace v obou odděleních, která spolu komunikují. Pro uživatele bude práce přes VPN vypadat, jako by se obě oddělení nacházela na stejném území a pracovala v jedné síti.

Kontrola autority pomocných systémů

Než budeme pokračovat, je důležité si uvědomit, že každá z bran nebo podpůrných systémů je vstupním bodem do sítě organizace. V každém vstupním bodě musí být nějakým způsobem ověřena autorita toku dat vstupujících a vystupujících ze sítě. Jednou z otázek, které je třeba zvážit, je požadavek na povolení externí připojení na pomocné síťové systémy. To může být problém pro pomocné systémy, které jsou neustále připojeny k síti. U takových podpůrných systémů je nutné určit, jak bude jejich přítomnost v síti autorizována. Ve skutečnosti i dočasná síťová připojení, jako jsou příchozí modemová připojení, mohou mít přísné požadavky na autentizaci.

Požadavky na autentizaci by neměly být v této části pravidla popisovány – jsou popsány v další části „Zabezpečení přihlášení“. Zde můžeme pouze poznamenat nutnost požadavků na autentizaci. Pravidla týkající se standardů autentizace budou probrána v další části. Aby se však zajistilo, že problém autentizace je řešen pro pomocné systémy, je třeba dodržovat ustanovení pravidel pro připojení k internetu můžete přidat následující.

Aplikace vyžadované pro fungování bran musí být ověřeny sítí. Pokud nelze ověřit samotnou aplikaci, musí se na ni vztahovat autentizační pravidla popsaná v tomto dokumentu pomocné systémy, připojené přes brány.

Správce distribuuje internetové zdroje pro zaměstnance společnosti, vytváří seznamy zakázaných nebo povolených doménových jmen, IP adres atd. Zároveň může nastavit omezení času nebo objemu provozu. V případě překročení útraty je přístup k internetu automaticky uzavřen.

Upozornění: Správce může vždy poskytnout správě zprávu o využití sítě každého zaměstnance.

  • Flexibilní systém pravidel pro kontrolu přístupu k internetu:
    • omezení provozní doby, množství odeslaného/přijatého provozu (provozní účtování) za den a/nebo týden a/nebo měsíc, množství využitého času za den a/nebo týden a/nebo měsíc;
    • filtry, které řídí přístup uživatelů k nežádoucím zdrojům (sexuální, herní stránky);
    • rozvinutý systém dopravní omezení A přístupová rychlost pro každého uživatele. V případě nadměrného provozu je přístup k internetu automaticky uzavřen;
    • seznamy zakázaných nebo povolených doménových jmen, IP adres, částí Řetězce URL, ke kterému je administrátorem zakázán/povolen přístup;
    • možnost nastavit rozsah povolených a zakázaných IP adres;
    • hodinový rozvrh práce uživatele na internetu;
    • filtry, které umožňují konfigurovat vysoce efektivní „řezání bannerů“.
  • Počítání a prohlížení statistik aktivitu uživatele podle různých parametrů (dny, stránky) po libovolný časový interval. Prohlížení internetových statistik aktivity uživatelů za aktuální měsíc přes HTTP je možné pouze pro uživatele v lokální síti.
  • Vestavěný fakturační systém automaticky vypočítává cenu práce uživatele na internetu na základě ceny, času a/nebo objemu provozu. Tarify můžete nastavit pro každého uživatele samostatně nebo pro skupinu uživatelů. Je možné přepínat tarify v závislosti na denní době, dni v týdnu nebo adrese pracoviště.

Bezpečnost informací v kanceláři

  • podpora VPN Virtuální privátní síť je kombinace jednotlivých strojů nebo lokálních sítí v síti, jejíž bezpečnost je zajištěna mechanismem pro šifrování dat a autentizaci uživatelů.
  • Vestavěný firewall zabraňuje neoprávněnému přístupu k datům serveru a místní sítě tím, že zakáže připojení na určitých portech a protokolech. Funkce brány firewall řídí přístup k nezbytným portům, například pro publikování firemního webového serveru na internetu.
  • Kaspersky Antivirus a Panda integrované do proxy serveru UserGate, fungují jako filtry: zachycují data přenášená přes HTTP protokoly a FTP. Podpora poštovních protokolů POP3 a SMTP je implementována na vyšší úroveň. To vám umožní používat vestavěný antivirus ke kontrole poštovního provozu. Pokud dopis obsahuje přiložený soubor s virem, proxy server UserGate smaže přílohu a upozorní na to uživatele změnou textu dopisu. Vše nakažené popř podezřelé soubory z písmen jsou umístěny ve speciální složce v adresáři UserGate.
    Správce UserGate si můžete vybrat, zda chcete používat jeden antivirový modul nebo oba současně. V druhém případě můžete určit pořadí, ve kterém jsou jednotlivé typy provozu kontrolovány. Například HTTP provoz bude nejprve kontrolován antivirem od Kaspersky Lab a poté modulem od Panda Software
  • Podpora poštovního protokolu
    POP3 – a SMTP – proxy v UserGate může pracovat s ovladačem NAT nebo bez něj. Při práci bez ovladače je účet v poštovním klientovi na straně uživatele konfigurován zvláštním způsobem. Při práci pomocí ovladače (provoz proxy v transparentní režim), nastavení pošty na straně uživatele se provádí stejným způsobem jako u přímého přístupu k internetu. Budoucí podpora pro POP3 a SMTP protokoly na nejvyšší úrovni bude použit k vytvoření antispamového modulu.

Administrace pomocí proxy serveru UserGate

  • Pravidla sítě
    V proxy serveru UserGate Byla implementována podpora NAT (Network Address Translation) a technologie mapování portů. Technologie NAT se používá k vytváření transparentních proxy a podporuje jiné protokoly než HTTP nebo FTP.
    Transparentní proxy umožňuje uživatelům pracovat bez speciálních nastavení a správci nemusí ručně konfigurovat uživatelské prohlížeče.
  • Doplňkový modul Usergate Cache Explorer navržený pro zobrazení obsahu mezipaměti. Práce s touto funkcí je jednoduchá: stačí zadat umístění souboru ug_cache.lst ze složky cache při jeho spuštění. Po přečtení obsahu tohoto souboru Průzkumník mezipaměti uživatelské brány zobrazí seznam zdrojů uložených v mezipaměti. Ovládací panel Cache Explorer má několik tlačítek, která umožňují filtrovat obsah mezipaměti podle velikosti, rozšíření atd. Filtrovaná data lze uložit do složky na pevném disku pro další pečlivé studium.
  • Funkce přiřazení portů(Mapování portů) umožňuje svázat libovolný vybraný port jednoho z lokálních IP rozhraní do požadovaného portu vzdálený hostitel. Přiřazení portů se používá k organizaci provozu bankovních klientských aplikací, her a dalších programů, které vyžadují předávání paketů na konkrétní IP adresu. Pokud potřebujete přístup z internetu ke konkrétnímu síťový zdroj lze toho dosáhnout také pomocí funkce přiřazení portů.
  • Správa provozu: řiďte a zohledněte svůj síťový provoz
    Funkce „Traffic Management“ je určena k vytváření pravidel, která řídí přístup uživatelů místní sítě k internetu, k vytváření a změně používaných tarifů UserGate.
    Upozornění: Ovladač NAT zabudovaný do proxy serveru UserGate, poskytuje nejpřesnější účtování internetového provozu.
    V proxy serveru UserGate existuje možnost oddělení různé typy provoz, například místní a zahraniční internetový provoz. Sledován je také provoz a IP adresy aktivní uživatelé, jejich přihlášení, navštívené adresy URL v reálném čase.
  • Vzdálená správa umožňuje správci systému být mobilní, protože je nyní možné spravovat proxy server UserGate na dálku.
  • Automatické a ruční zasílání uživatelům informace o jejich provozu prostřednictvím e-mailu, a to i prostřednictvím serverů s autorizací SMTP.
  • Připojení k kaskádový proxy s možností autorizace.
  • Flexibilní generátor sestav s možností exportu do MS Excel a HTML.
  • Různé způsoby autorizace uživatelů: podle všech protokolů; podle IP adresy, podle IP+MAC, IP+MAC (předplatné); podle uživatelského jména a hesla; pomocí autorizace Windows a Active Directory.
  • Import uživatelů z Aktivní adresář - nyní nemusíte ručně vytvářet několik stovek uživatelů, program udělá vše za vás.
  • Plánovač úkolů umožňuje v určený čas provést jednu z předdefinovaných akcí: odeslat statistiku, spustit program, navázat nebo ukončit vytáčené připojení, aktualizovat antivirové databáze.
  • UserGate podporuje následující protokoly:
    • HTTP (mezipaměti);
    • FTP (mezipaměti);
    • Ponožky4, Ponožky5;
    • POP3;
    • SMTP;
    • Jakýkoli protokol UDP/TCP přes NAT (Network Address Translation) a přes přiřazení portů.

Úspora peněz za používání internetu

Pomocí vestavěných filtrů UserGate blokuje načítání reklamy z internetu a zakazuje přístup k nechtěným zdrojům.

Upozornění: Správce může zakázat stahování souborů určité přípony, například jpeg, mp3.

Program si také může zapamatovat (cachovat) všechny navštívené stránky a obrázky, čímž uvolní kanál pro stahování užitečných informací. To vše výrazně snižuje nejen provoz, ale i čas strávený na lince.

Proxy server UserGate: účtování vašeho síťového provozu!

Všechno více Pro podniky se dnes stává nutností připojovat své počítačové sítě k internetu. Poskytovatel internetových služeb (ISP) je obvykle odpovědný za provoz přístupového kanálu, ale také správce systému Počítačová síť i malého podniku musí řešit řadu organizačních a technologických problémů. V tomto článku nebudeme uvažovat poštovní služby, IP telefonii a virtuální privátní sítě (VPN), ale omezíme se na přístup k webovým a ftp službám založeným na OS FreeBSD a proxy serveru SQUID v firemní síť, pokrývající až 100 pracovních míst.

Dvě metody

Existují dva hlavní způsoby, jak uživatelům podnikové sítě poskytnout přístup k webovým a FTP službám: přes směrování (vysílání) nebo přes proxy server.

V prvním případě (obr. 1) je přístup zajištěn IP adresou počítače, na kterém zaměstnanec pracuje. Toto schéma lze plně implementovat na základě softwarového řešení – brány FreeBSD OS a firewallu IPFW. Kromě toho existují složité specializované hardwarové a softwarové brány. U terminálových pracovních stanic je organizování přístupu podle IP adres technicky nemožné, protože všechny používají stejnou IP adresu terminálového serveru.

Pro připojení uživatelských pracovních stanic k internetovému kanálu se používá brána ve formě x86 serveru s nainstalovaným OS FreeBSD, program NATD (poskytující vysílání interní IP adresy na skutečnou IP adresu serveru a zpět), IPFW, povolené směrování a dvě síťová rozhraní: jedno z nich „kouká“ do lokální sítě, druhé je připojeno k poskytovateli. Na každém klientském počítači musíte zadat adresu IP brány ve vlastnostech protokolu TCP/IP síťové karty.

Ve druhém případě je uživatel autorizován pomocí přístupového jména (login) a hesla přiděleného zaměstnanci. Tuto možnost lze zejména implementovat pomocí proxy serveru SQUID a autentizačního systému ncsa_auth. Uvažujme standardní schéma(obr. 2), kde je SQUID nainstalován na bráně sítě: server se jedním rozhraním „podívá“ do místní sítě a druhým je připojen k internetovému kanálu. S tímto nastavením SQUID nevyžaduje NATD nebo směrování, aby fungoval na internetu (přes HTTP, FTP a DNS) na počítačích v místní síti, protože SQUID posílá všechny požadavky na internetové zdroje „od sebe“ – s IP adresou. externí rozhraní brána. Služba DNS lze na klientských počítačích zakázat, protože samotný SQUID přistupuje k DNS.
Rýže. 2. Přístup k internetu přes proxy server.

Podniková síť obvykle používá e-mail a bude stále potřebovat směrování a NATD na bráně, aby fungovala, ale pro webovou poštu běžící přes HTTP stačí proxy server SQUID.

SQUID přenáší data „stažená“ z internetu uživateli a ukládá je do své mezipaměti. Při druhém požadavku jsou tato data načtena z mezipaměti (pokud samozřejmě webová stránka umožňuje ukládání do mezipaměti), což je mnohem rychlejší a nezabírá přístupový kanál. Kromě více efektivní využití kapacitě kanálu, dochází i k úspoře na objemu provozu (podle autora je to v průměru za měsíc 13 %). Data v mezipaměti mohou být aktualizována v závislosti na nastavení samotného proxy serveru. Když kliknete na tlačítko "Obnovit" na ovládacím panelu prohlížeče, proxy server násilně zkopíruje data z webového serveru, i když je má ve své mezipaměti a nejsou zastaralé (a zároveň je aktualizuje v mezipaměti ). Některé stránky na webových stránkách jsou však specificky označeny jako neuložitelné do mezipaměti, například pro účely zvýšené relevance.

Kromě samotného přístupu musí správce systému vyřešit i problémy s autorizací přístupu, účtováním provozu a času uživatelů na internetu a zajištěním bezpečnosti podnikové lokální sítě. Je také nutné stanovit pravidla pro distribuci šířky pásma internetového kanálu mezi uživatele sítě a pravidla pro přístup k internetovým zdrojům; Možná budete muset nastavit další omezení pro uživatele.

Všechny tyto postupy, v závislosti na typu přijatého přístupu (podle IP adresy nebo přes proxy server), mají své vlastní charakteristiky.

Autentizace

Autentizace pomocí IP adresy počítače neposkytuje ochranu heslem pro přístup k internetu. Uživatelé, kteří znají hesla pro přístup pracovní prostředí Operační systém jiných podnikových strojů může běžet různé počítače. Pokud tedy více zaměstnanců používá k práci na internetu jeden počítač, nelze při účtování oddělit jejich provoz.

Existuje možnost podvrhnout IP adresu; Je pravda, že existuje také protiopatření - statická tabulka ARP (Address Resolution Protocol - protokol pro převod IP adres na MAC adresy / hardwarové adresy síťových karet) na bráně, kde je registrována korespondence mezi IP adresou a MAC adresou síťové karty. pracovní stanice. Obecně platí, že IP autentizace nemá dostatečnou flexibilitu a spolehlivost a umožňuje pouze počítat celkový objem provozu.

V případě proxy serveru je uživatelům podnikové sítě, kteří získali oprávnění k přístupu na internet (HTTP, FTP, ICQ), přiřazen identifikační pár: přihlašovací jméno a heslo. Podobné schéma také umožňuje různým uživatelům přístup k internetu z jednoho počítače (hlavní je, že parametry proxy serveru jsou specifikovány v klientských programech). Záznam provozu bude uchováván pro každého uživatele (přihlášení) samostatně. Autentizaci zajišťuje proxy server SQUID s OS FreeBSD a softwarový subsystém ncsa_auth ukládá hesla v zašifrovaném formátu MD5. SQUID může využívat různé externí autentizační mechanismy.

Práce na internetu přes proxy server musí být podporována klientským softwarem: jeho nastavení specifikuje DNS nebo IP adresu proxy serveru a také jeho TCP port. Všechny moderní prohlížeče a klient ICQ podporují práci přes proxy server a autentizaci na něm. Ověření může proběhnout při každém připojení (jste vyzváni k zadání přihlašovacího jména a hesla) nebo může být trvalé (nevyžaduje zadání uživatelského jména a hesla, ale v nastavení klientský program zadejte uživatelské jméno ze seznamu ověření proxy serveru a heslo). Ověření proběhne jednou a je platné, dokud není klientský program uzavřen. Po dokončení procházení internetu uživatel jednoduše zavře prohlížeč a tím ukončí povolenou relaci.

Účetnictví provozu

Účtování provozu pro IP adresy pracovních stanic se provádí pomocí IPFW, softwarového firewallu zabudovaného do jádra operačního systému FreeBSD. Aby bylo možné spolehlivě zohlednit uživatelský provoz s tímto přístupovým schématem, musí zaměstnanci přistupovat k internetu pouze ze svých přidělených pracovních stanic, což přirozeně omezuje flexibilitu a mobilitu jejich práce.

Nicméně i tento přístup má svou výhodu – přesnější účtování celkového objemu provozu přes IP protokol. Tento postup je implementován nastavením dvou pravidel IPFW firewall COUNT:

Počítejte ip z libovolného do libovolného vstupu přes de0 počítejte ip z libovolného do libovolného výstupu pomocí de0

První pravidlo bere v úvahu příchozí tok, druhé - odchozí tok. Zde de0 je externí síťové rozhraní brány, které má skutečnou IP adresu na internetu. Současně s tímto schématem není možné protokolovat názvy zdrojů navštívených uživateli, stejně jako názvy a velikosti stažených souborů.

Při použití proxy serveru je provoz zaznamenáván pomocí protokolu HTTP a objem těchto dat je menší než objem IP provozu. Při ověřování uživatelem však SQUID zaznamenává všechna data o požadavcích (adresy DNS stránek, čas přijetí požadavku, objem stažených souborů, zdroj - mezipaměť SQUID nebo Internet) do protokolu pro každého uživatele, bez ohledu na IP adresu klientský stroj.

Zabezpečení internetového připojení

Připojení fyzického internetového kanálu přímo k podnikové síti se rovná přesunutí podnikových pracovišť do přeplněné oblasti. Informace obíhající v místní síti jsou zpravidla pro chod podniku kritické a škodlivé účinky virů (například e-mailové viry), útok zvenčí nebo únik dat zevnitř mohou zcela narušit jeho provoz. .

Škodlivé účinky virů lze jen stěží podceňovat, ale řešení tohoto problému závisí z 90 % na informovanosti uživatelů – zda ​​někdo spustí virus připojený k e-mailu. Virové útoky lze zablokovat a odrazit antivirové programy na poštovní servery(Dr.Web, McAfee, "Kaspersky Anti-Virus Business Optimal" atd.) a na počítačích uživatelů ( Norton Antivirus, odpovídající produkty Kaspersky Lab atd.). Hlavní věc je zde včasná aktualizace antivirové databáze.

Externí útoky, v závislosti na tom, jak je spojení organizováno, jsou blokovány kompetentní nastavení brány, pomocí proxy serveru na bráně bez NAT a směrování, stejně jako přesunutí proxy serveru, pošty a webového serveru do „demilitarizované zóny“ (DMZ, podsíť podnikové sítě přístupná z internetu).

Úniky podnikových dat jsou především organizační povahy a představují nejobtížnější problém pro podnikovou bezpečnostní službu. Existují technická řešení, která tuto možnost minimalizují: zejména uzavření všech TCP/UDP portů na rozhraní brány, které nahlíží do lokální sítě (zůstává pouze port proxy serveru). Směrování a překlad adres (NAT) mezi internetem a interními („šedými“) IP adresami podnikové sítě musí být zakázáno.

Uvedená opatření se používají, když je na bráně nainstalován proxy server, ale systém s proxy serverem umístěným v DMZ je považován za bezpečnější.

Nejúplnější ochranu poskytuje fyzické oddělení lokální podnikové sítě a internetu. V tomto případě podnik organizuje počítačovou síť pro práci na internetu, která není připojena k místní síti kanály přenosu informací. Data, která je třeba odeslat e-mailem, se přenesou na vyměnitelné médium CD), které jsou zkontrolovány bezpečnostní službou a zašifrovány např. pomocí PGP - volný programšifrování poštovní zprávy a soubory.

Distribuce kapacity kanálu

Pro schéma IP přístupu lze rozdělení šířky pásma kanálu mezi uživatele implementovat pomocí Pipes firewallu IPFW operačního systému FreeBSD a v případě proxy serveru SQUID lze použít jeho mechanismus delay_pools.

Server určí velikost souboru požadovanou uživatelem, a pokud tato velikost nepřekročí nastavenou hodnotu, soubor se stáhne na maximum možná rychlost. V případě většího souboru se přenáší stanovenou omezenou rychlostí. Tento mechanismus se nevztahuje na všechny uživatele, ale pouze na ty uvedené v ACL (Access Control List – pojmenovaná skupina objektů, na kterou lze aplikovat různá omezení), což umožňuje velmi flexibilně konfigurovat pracovní priority různých skupin uživatelů.

Zároveň, pokud v tento moment Běží pouze jeden uživatel, stále se na něj budou vztahovat omezení rychlosti stahování velké soubory. IPFW, na rozdíl od delay_pools v SQUID, umožňuje implementovat dynamické dělení kanálů.

Přístup ke zdrojům a další omezení

U schématu IP jsou omezení možná pouze na adresy IP serveru a porty TCP/UDP. To je nepohodlné, protože dnes je mechanismus virtuálních hostitelů webového serveru Apache založený na protokolu HTTP v1.1 běžný, kdy jeden webový server s jednou IP adresou obsluhuje mnoho stránek s různými názvy DNS.

SQUID naopak poskytuje velmi flexibilní mechanismy pro správu uživatelského přístupu k internetovým zdrojům pomocí ACL. Může to být například přístup k určitý čas, den v týdnu, měsíc; povolení/zákaz kopírování určitých typů souborů, povolení/zákaz přístupu ke zdroji, jehož název obsahuje určité klíčové slovo.

Konfigurace brány IPFW

Rolí brány je počítač se dvěma síťovými rozhraními (jedno je připojeno k internetu a má skutečnou IP adresu a druhé se „dívá“ do podnikové sítě a identifikuje se IP adresou své podsítě), na kterém Je nainstalován operační systém FreeBSD (http: //www.freebsd.org). FreeBSD se snadno nastavuje, je spolehlivé, zdarma a obsahuje téměř vše, co byste mohli potřebovat síťový server podnikové měřítko.

Proces instalace operačního systému FreeBSD, konfigurace síťových rozhraní, spouštění a konfigurace IPFW, NATD, směrování - obecně vše potřebné pro konfiguraci brány pro přístup k internetu (jak přes IP, tak pomocí SQUID proxy serveru, kromě konfigurace samotného SQUID) je podrobně popsána v knize M. Ebena a B. Tymana "FreeBSD. Uživatelská encyklopedie" (Kyiv: Diasoft, 2003).

Pro obě možnosti organizace přístupu k internetu musíte nakonfigurovat software IPFW. IPFW filtruje a počítá IP pakety na všech síťových rozhraních. Program také zpracovává balíčky pro více vysoké úrovně: UDP, TCP a ICMP. Kromě toho se IPFW podílí na práci NATD. Autor doporučuje, abyste při nastavování pravidel ipfw používali utilitu trafshow pro řízení volání do a ze sítě na všech rozhraních s uvedením IP adres externí stroje, protokoly a porty v reálném čase. tým

Trafshow -i fxp0 -n

nastavuje zobrazení paketů na rozhraní fxp0 s čísly portů a příkazem

Ipfw - seznam

zobrazuje pravidla ipfw, počet paketů a objem provozu (v bajtech), který prošel od zapnutí serveru nebo od posledního vynulování počítadel pravidel.

Implementace a práce s SQUID

Proxy server pro ukládání do mezipaměti SQUID (http://www.squid-cache.org) na platformě Unix je bezplatný software s open source. Je snadno konfigurovatelný, dobře zdokumentovaný, široce distribuovaný a snadno se integruje s OS FreeBSD. SQUID umožňuje organizovat různé typy autentizace při přístupu k internetu, omezuje přístup podle libovolného parametru (název domény, klíčové slovo v adrese, protokolu atd.) na základě ACL.

Při použití SQUID na bráně je nutné zablokovat místním strojům přístup k externím adresám (a naopak) a povolit přístup z lokální sítě pouze k portu proxy serveru na jejím místní rozhraní. NAT a směrování na bráně, pokud nejsou potřebné pro SMTP nebo jiné služby, by měly být také zakázány.

Instalace se provádí z portů operačního systému FreeBSD (ve verzi 4.9, Současná verze 4.10) /usr/ports/www/squid (verze 2.5 STABLE3) nebo /usr/ports/www/squid24 (STABLE7). Potřebné možnosti musí být v Makefile odkomentovány. Doporučené možnosti:

CONFIGURE_ARGS+= -enable-delay-pools (pro povolení mechanismu alokace šířky pásma); CONFIGURE_ARGS+= -enable-err-language=ruština-1251 (pro diagnostiku v ruštině)

Po Instalace SQUID je nutné nainstalovat samotný autorizační systém. Její zdrojové texty obsažené v souborech SQUID:

/usr/ports/www/squid24/work/squid-2.4.STABLE7/auth_modules/NCSA

Pracovní příklad textu squid.conf

Icp_port 0 client_netmask 255.255.255.0 authenticate_program /usr/local/squid/bin/ncsa_auth /usr/local/etc/passwd authenticate_children 20 reference_age 2 týdny acl all src 0.0.0.0/0.0.0 místní správce hostitele acl.0.0. 1 /255.255.255.255 acl SSL_ports port 443 563 acl Safe_ports port 80 # http acl Safe_ports port 21 # ftp acl Safe_ports port 443 563 # https, snews acl Safe_ports port0 #2 gofr_0 port waport . port 1025-65 535#unregistered ports acl Safe_ports port 280 # http-mgmt acl Safe_ports port 488 # gss-http acl Safe_ports port 591 # filemaker acl Safe_ports port 777 # multiling http acl CONNECT metoda CONNECT/CONNECT acl Inet_thlo proxy/usersa"ccal DLADY_POOLS 1 Delay_class 1 2 Delay_Parameters 1 7500/7500 1875/1875 Delay_access 1 Povolit inet_users Delay_access 1 Popírá všechny http_access Povolit manažer localhost http_access Deny. Přístup popírat všechny

Po instalaci, konfiguraci a spuštění SQUID a jeho autorizačního systému může administrátor pouze přidávat a odebírat uživatele. Stačí vytvořit uživatelská data pouze v SQUID, protože nespadá do prostředí OS proxy serveru, a tudíž není potřeba vytvářet identifikační data uživatele OS. Po změnách v squid.conf nebo přidání/odebrání uživatelů by měl SQUID znovu přečíst svou konfiguraci, aniž by zavřel existující uživatelské relace pomocí příkazu

Squid -k překonfigurovat.

Při vytváření uživatele SQUID pomocí ncsa_auth musíte zadat přihlašovací jméno a heslo uživatele ve dvou konfiguračních souborech; v našem příkladu to bude vypadat takto:

/usr/local/etc/squid_users /usr/local/etc/passwd

První soubor jednoduše přidá uživatelské jméno (login). nový řádek používáním textový editor. Druhý soubor ukládá uživatelská hesla (v MD5) a do tohoto souboru můžete přidat účet pouze pomocí nástroje htpasswd, který je součástí webového serveru Apache.

Je nutné sledovat obsah mezipaměti SQUID a pravidelně ji mazat, aby nedošlo k přetečení souborový systém- pomocí příkazu squid -Z.

V nastavení klienta ve vlastnostech prohlížečů a klientů ICQ musíte zadat IP adresu a port proxy serveru. V našem příkladu je to IP:192.168.1.8 a port 3128 (tento port se používá ve výchozím nastavení). Pokud je program ICQ nakonfigurován tak, aby pracoval přes proxy server, pak používá 443. a nikoli 5190. port TCP serverů ICQ, což je také třeba vzít v úvahu při konfiguraci firewally. Při použití SQUID je nutné zablokovat možnost přístupu místních počítačů k portu TCP 80 internetových serverů. Obecně můžete povolit přístup pouze k portu proxy serveru a zavřít jej všem ostatním, s výjimkou pošty, aby „pokročilí“ uživatelé nepřecházeli na internet a neobcházeli SQUID.

O složitosti nastavení SQUID se můžete dozvědět na webových stránkách http://www.bog.pp.ru/work/squid.html.

Analýza provozu

K tomuto účelu se používá bezplatný open source analyzátorový program SARG (). Výsledkem její práce jsou HTML stránky, které zobrazují nejrůznější statistické údaje o práci uživatelů na internetu. Analyzuje se celé období protokolu, takže je pohodlnější provést potřebné řezy na konci měsíce a poté vymazat protokol SQUID pomocí příkazu access.log.

Nejčastěji poptávané jsou dva typy střihů. Za prvé, rozdělení objemu informací stažených z internetu podle uživatelů, obvykle seřazených v sestupném pořadí podle objemu (obr. 3). Současně se také vydává kvantitativní informace o účinnosti ukládání do mezipaměti. Tento průřez umožňuje analyzovat objem práce na internetu jako celek a seřadit uživatele podle aktivity jejich práce na internetu.

Druhou oblíbenou sekcí je zobrazení informací načtených konkrétním uživatelem na stránkách (obr. 4), rovněž seřazených v sestupném pořadí podle objemů dat. Tento segment vám umožňuje informovat uživatele na internetu a zjistit, zda nejčastěji požadované stránky odpovídají pracovním povinnostem zaměstnance.

závěry

Zvažovali jsme dvě možnosti, jak zorganizovat trvalé připojení k podnikové síti k internetu.

Možnost „na základě IP adres uživatelských počítačů pomocí pravidel IPFW“ má následující nevýhody. Za prvé, není možné zkontrolovat vhodnost práce uživatele na internetu, protože IPFW počítá pouze celkový provoz pro každé pravidlo předepsané pro konkrétní počítač a nesleduje navštívené stránky. Za druhé, není možné autorizovat uživatele, který právě pracuje na internetu. To je zvláště důležité, pokud je stroj „sdílený“ několika uživateli. Konečně je možné, aby uživatel IP adresu podvrhl.

Kromě toho, pokud používáte terminálový server, není možné brát v úvahu provoz různých uživatelů, protože všechny pracují ze stejné IP adresy terminálového serveru.

Uvedené nevýhody jednoduše odrážejí omezení účtování a správy provozu podle IP adres a účetního systému IPFW. IPFW není určeno přímo pro měření provozu uživatelských strojů, jedná se o nástroj pro účtování provozu kanálu.

Kompletní a kompletní řešení problému poskytuje systém využívající bránu s OS FreeBSD, nakonfigurovaný firewall IPFW a na něm nainstalovaný proxy server SQUID s povolenou autentizací ncsa_auth. Použití cachovacího proxy serveru v podnikové síti umožňuje ušetřit až 10 % na platbách za měsíční provoz a výrazně urychlit načítání opakovaně navštěvovaných zdrojů.

Veškerý software použitý v toto rozhodnutí, - volný, uvolnit. Náklady na jeho podporu jsou minimální a jak ukazuje praxe, systém FreeBSD+SQUID je vcelku spolehlivý.

Systém SQUID je díky své flexibilitě konfigurace a dostupnosti rozhraní pro připojení externích modulů vysoce škálovatelný. Chyba v účtování provozu HTTP ve srovnání s IP, která je vlastní SQUID, není zásadní; Mnohem důležitější je, že v tomto případě je možné organizovat spolehlivé kvantitativní a kvalitativní sledování práce uživatelů na internetu pomocí protokolů HTTP, HTTPS a FTP a rozlišovat přístupová práva a priority.

Proxy server je schopen pracovat na počítači s poměrně nízkou spotřebou energie, například s procesorem Celeron 1 GHz, 128 MB paměti a pevný disk 20 GB (tato konfigurace aktuálně běží v našem podniku, obsluhuje 30 uživatelů) a roli brány pro IP přístup (FreeBSD, IPFW, NATD) může plnit počítač Pentium 166 MHz se 128 MB paměti.



Oblíbené v kategorii:
Jak sloučit vrstvy ve Photoshopu do jedné nebo je spojit do skupiny Jak zkombinovat několik vrstev ve Photoshopu
Jak sloučit vrstvy ve Photoshopu do jedné nebo je spojit do skupiny...
číst
Přeneste kontakty do nového telefonu Android
Přeneste kontakty do nového telefonu Android
číst
Samsung Galaxy se restartuje sám – Solutions Galaxy note 4 se restartuje sám
Samsung Galaxy se sám restartuje – řešení Galaxy Note...
číst
Klíčové vlastnosti Kaspersky Rescue Disk
Klíčové vlastnosti Kaspersky Rescue Disk
číst

poslední články
MacBook se nepřipojí k wifi MacBook nevidí...
číst
Jak vydělat peníze na WebMoney
číst
Tablet "Supra": recenze zákazníků
číst
Umístění lodí v reálném čase
číst
Nejlepší programy pro Android Záznam hovorů z...
číst
Odebírání nesledujících na Twitteru
číst
Připojení k internetu na notebooku: všechny možné...
číst
Samsung Galaxy S IV je nová vlajková loď...
číst
Horní