Доступ в Интернет из корпоративной сети: советы администратора. Создадим пользователя с обычными правами. Настроим сетевое соединение


Кившенко Алексей, 1880

Данная статья содержит обзор пяти вариантов решения задачи организации доступа к сервисам корпоративной сети из Интернет. В рамках обзора приводится анализ вариантов на предмет безопасности и реализуемости, что поможет разобраться в сути вопроса, освежить и систематизировать свои знания как начинающим специалистам, так и более опытным. Материалы статьи можно использовать для обоснования Ваших проектных решений.

При рассмотрении вариантов в качестве примера возьмем сеть, в которой требуется опубликовать:

  1. Корпоративный почтовый сервер (Web-mail).
  2. Корпоративный терминальный сервер (RDP).
  3. Extranet сервис для контрагентов (Web-API).

Вариант 1. Плоская сеть

В данном варианте все узлы корпоративной сети содержатся в одной, общей для всех сети («Внутренняя сеть»), в рамках которой коммуникации между ними не ограничиваются. Сеть подключена к Интернет через пограничный маршрутизатор/межсетевой экран (далее - IFW ).

Доступ узлов в Интернет осуществляется через NAT , а доступ к сервисам из Интернет через Port forwarding .

Плюсы варианта :

  1. Минимальные требования к функционалу IFW (можно сделать практически на любом, даже домашнем роутере).
  2. Минимальные требования к знаниям специалиста, осуществляющего реализацию варианта.
Минусы варианта :
  1. Минимальный уровень безопасности. В случае взлома, при котором Нарушитель получит контроль над одним из опубликованных в Интернете серверов, ему для дальнейшей атаки становятся доступны все остальные узлы и каналы связи корпоративной сети.
Аналогия с реальной жизнью
Подобную сеть можно сравнить с компанией, где персонал и клиенты находятся в одной общей комнате (open space)


hrmaximum.ru

Вариант 2. DMZ

Для устранения указанного ранее недостатка узлы сети, доступные из Интернет, помещают в специально выделенный сегмент – демилитаризованную зону (DMZ). DMZ организуется с помощью межсетевых экранов, отделяющих ее от Интернет (IFW ) и от внутренней сети (DFW ).


При этом правила фильтрации межсетевых экранов выглядят следующим образом:
  1. Из внутренней сети можно инициировать соединения в DMZ и в WAN (Wide Area Network).
  2. Из DMZ можно инициировать соединения в WAN.
  3. Из WAN можно инициировать соединения в DMZ.
  4. Инициация соединений из WAN и DMZ ко внутренней сети запрещена.


Плюсы варианта:
  1. Повышенная защищённость сети от взломов отдельных сервисов. Даже если один из серверов будет взломан, Нарушитель не сможет получить доступ к ресурсам, находящимся во внутренней сети (например, сетевым принтерам, системам видеонаблюдения и т.д.).
Минусы варианта:
  1. Сам по себе вынос серверов в DMZ не повышает их защищенность.
  2. Необходим дополнительный МЭ для отделения DMZ от внутренней сети.
Аналогия с реальной жизнью
Данный вариант архитектуры сети похож на организацию рабочей и клиентской зон в компании, где клиенты могут находиться только в клиентской зоне, а персонал может быть как в клиентской, так и в рабочих зонах. DMZ сегмент - это как раз и есть аналог клиентской зоны.


autobam.ru

Вариант 3. Разделение сервисов на Front-End и Back-End

Как уже отмечалось ранее, размещение сервера в DMZ никоим образом не улучшает безопасность самого сервиса. Одним из вариантов исправления ситуации является разделение функционала сервиса на две части: Front-End и Back-End . При этом каждая часть располагается на отдельном сервере, между которыми организуется сетевое взаимодействие. Сервера Front-End, реализующие функционал взаимодействия с клиентами, находящимися в Интернет, размещают в DMZ, а сервера Back-End, реализующие остальной функционал, оставляют во внутренней сети. Для взаимодействия между ними на DFW создают правила, разрешающие инициацию подключений от Front-End к Back-End.

В качестве примера рассмотрим корпоративный почтовый сервис, обслуживающий клиентов как изнутри сети, так и из Интернет. Клиенты изнутри используют POP3/SMTP, а клиенты из Интернет работают через Web-интерфейс. Обычно на этапе внедрения компании выбирают наиболее простой способ развертывания сервиса и ставят все его компоненты на один сервер. Затем, по мере осознания необходимости обеспечения информационной безопасности, функционал сервиса разделяют на части, и та часть, что отвечает за обслуживание клиентов из Интернет (Front-End), выносится на отдельный сервер, который по сети взаимодействует с сервером, реализующим оставшийся функционал (Back-End). При этом Front-End размещают в DMZ, а Back-End остается во внутреннем сегменте. Для связи между Front-End и Back-End на DFW создают правило, разрешающее, инициацию соединений от Front-End к Back-End.

Плюсы варианта:

  1. В общем случае атаки, направленные против защищаемого сервиса, могут «споткнуться» об Front-End, что позволит нейтрализовать или существенно снизить возможный ущерб. Например, атаки типа TCP SYN Flood или slow http read , направленные на сервис, приведут к тому, что Front-End сервер может оказаться недоступен, в то время как Back-End будет продолжать нормально функционировать и обслуживать пользователей.
  2. В общем случае на Back-End сервере может не быть доступа в Интернет, что в случае его взлома (например, локально запущенным вредоносным кодом) затруднит удаленное управление им из Интернет.
  3. Front-End хорошо подходит для размещения на нем межсетевого экрана уровня приложений (например, Web application firewall) или системы предотвращения вторжений (IPS, например snort).
Минусы варианта:
  1. Для связи между Front-End и Back-End на DFW создается правило, разрешающее инициацию соединения из DMZ во внутреннюю сеть, что порождает угрозы, связанные с использованием данного правила со стороны других узлов в DMZ (например, за счет реализации атак IP spoofing, ARP poisoning и т. д.)
  2. Не все сервисы могут быть разделены на Front-End и Back-End.
  3. В компании должны быть реализованы бизнес-процессы актуализации правил межсетевого экранирования.
  4. В компании должны быть реализованы механизмы защиты от атак со стороны Нарушителей, получивших доступ к серверу в DMZ.
Примечания
  1. В реальной жизни даже без разделения серверов на Front-End и Back-End серверам из DMZ очень часто необходимо обращаться к серверам, находящимся во внутренней сети, поэтому указанные минусы данного варианта будут также справедливы и для предыдущего рассмотренного варианта.
  2. Если рассматривать защиту приложений, работающих через Web-интерфейс, то даже если сервер не поддерживает разнесение функций на Front-End и Back-End, применение http reverse proxy сервера (например, nginx) в качестве Front-End позволит минимизировать риски, связанные с атаками на отказ в обслуживании. Например, атаки типа SYN flood могут сделать http reverse proxy недоступным, в то время как Back-End будет продолжать работать.
Аналогия с реальной жизнью
Данный вариант по сути похож на организацию труда, при которой для высоко загруженных работников используют помощников - секретарей. Тогда Back-End будет аналогом загруженного работника, а Front-End аналогом секретаря.


mln.kz

Вариант 4. Защищенный DMZ

DMZ это часть сети, доступная из Internet, и, как следствие, подверженная максимальному риску компрометации узлов. Дизайн DMZ и применяемые в ней подходы должны обеспечивать максимальную живучесть в условиях, когда Нарушитель получил контроль над одним из узлов в DMZ. В качестве возможных атак рассмотрим атаки, которым подвержены практически все информационные системы, работающие с настройками по умолчанию:

Защита от атак, связанных с DHCP

Не смотря на то, что DHCP предназначен для автоматизации конфигурирования IP-адресов рабочих станций, в некоторых компаниях встречаются случаи, когда через DHCP выдаются IP-адерса для серверов, но это довольно плохая практика. Поэтому для защиты от Rogue DHCP Server , DHCP starvation рекомендуется полный отказ от DHCP в DMZ.

Защита от атак MAC flood

Для защиты от MAC flood проводят настройку на портах коммутатора на предмет ограничения предельной интенсивности широковещательного трафика (поскольку обычно при данных атаках генерируется широковещательный трафик (broadcast)). Атаки, связанные с использованием конкретных (unicast) сетевых адресов, будут заблокированы MAC фильтрацией, которую мы рассмотрели ранее.

Защита от атак UDP flood

Защита от данного типа атак производится аналогично защите от MAC flood, за исключением того, что фильтрация осуществляется на уровне IP (L3).

Защита от атак TCP SYN flood

Для защиты от данной атаки возможны варианты:
  1. Защита на узле сети с помощью технологии TCP SYN Cookie .
  2. Защита на уровне межсетевого экрана (при условии разделения DMZ на подсети) путем ограничения интенсивности трафика, содержащего запросы TCP SYN.

Защита от атак на сетевые службы и Web-приложения

Универсального решения данной проблемы нет, но устоявшейся практикой является внедрение процессов управления уязвимостями ПО (выявление, установка патчей и т.д., например, так), а также использование систем обнаружения и предотвращения вторжений (IDS/IPS).

Защита от атак на обход средств аутентификации

Как и для предыдущего случая универсального решения данной проблемы нет.
Обычно в случае большого числа неудачных попыток авторизации учетные записи, для избежания подборов аутентификационных данных (например, пароля) блокируют. Но подобный подход довольно спорный, и вот почему.
Во-первых, Нарушитель может проводить подбор аутентификационной информации с интенсивностью, не приводящей к блокировке учетных записей (встречаются случаи, когда пароль подбирался в течении нескольких месяцев с интервалом между попытками в несколько десятков минут).
Во-вторых, данную особенность можно использовать для атак типа отказ в обслуживании, при которых Нарушитель будет умышленно проводить большое количество попыток авторизации для того, чтобы заблокировать учетные записи.
Наиболее эффективным вариантом от атак данного класса будет использование систем IDS/IPS, которые при обнаружении попыток подбора паролей будут блокировать не учетную запись, а источник, откуда данный подбор происходит (например, блокировать IP-адрес Нарушителя).

Итоговый перечень защитных мер по данному варианту:

  1. DMZ разделяется на IP-подсети из расчета отдельная подсеть для каждого узла.
  2. IP адреса назначаются вручную администраторами. DHCP не используется.
  3. На сетевых интерфейсах, к которым подключены узлы DMZ, активируется MAC и IP фильтрация, ограничения по интенсивности широковещательного трафика и трафика, содержащего TCP SYN запросы.
  4. На коммутаторах отключается автоматическое согласование типов портов, запрещается использование native VLAN.
  5. На узлах DMZ и серверах внутренней сети, к которым данные узлы подключаются, настраивается TCP SYN Cookie.
  6. В отношении узлов DMZ (и желательно остальной сети) внедряется управление уязвимостями ПО.
  7. В DMZ-сегменте внедряются системы обнаружения и предотвращения вторжений IDS/IPS.
Плюсы варианта:
  1. Высокая степень безопасности.
Минусы варианта:
  1. Повышенные требования к функциональным возможностям оборудования.
  2. Трудозатраты во внедрении и поддержке.
Аналогия с реальной жизнью
Если ранее DMZ мы сравнили с клиентской зоной, оснащенной диванчиками и пуфиками, то защищенный DMZ будет больше похож на бронированную кассу.


valmax.com.ua

Вариант 5. Back connect

Рассмотренные в предыдущем варианте меры защиты были основаны на том, что в сети присутствовало устройство (коммутатор / маршрутизатор / межсетевой экран), способное их реализовывать. Но на практике, например, при использовании виртуальной инфраструктуры (виртуальные коммутаторы зачастую имеют очень ограниченные возможности), подобного устройства может и не быть.

В этих условиях Нарушителю становятся доступны многие из рассмотренных ранее атак, наиболее опасными из которых будут:

  • атаки, позволяющие перехватывать и модифицировать трафик (ARP Poisoning, CAM table overflow + TCP session hijacking и др.);
  • атаки, связанные с эксплуатацией уязвимостей серверов внутренней сети, к которым можно инициировать подключения из DMZ (что возможно путем обхода правил фильтрации DFW за счет IP и MAC spoofing).
Следующей немаловажной особенностью, которую мы ранее не рассматривали, но которая не перестает быть от этого менее важной, это то, что автоматизированные рабочие места (АРМ) пользователей тоже могут быть источником (например, при заражении вирусами или троянами) вредоносного воздействия на сервера.

Таким образом, перед нами встает задача защитить сервера внутренней сети от атак Нарушителя как из DMZ, так и из внутренней сети (заражение АРМа трояном можно интерпретировать как действия Нарушителя из внутренней сети).

Предлагаемый далее подход направлен на уменьшение числа каналов, через которые Нарушитель может атаковать сервера, а таких канала как минимум два. Первый это правило на DFW , разрешающее доступ к серверу внутренней сети из DMZ (пусть даже и с ограничением по IP-адресам), а второй - это открытый на сервере сетевой порт, по которому ожидаются запросы на подключение.

Закрыть указанные каналы можно, если сервер внутренней сети будет сам строить соединения до сервера в DMZ и будет делать это с помощью криптографически защищенных сетевых протоколов. Тогда не будет ни открытого порта, ни правила на DFW .

Но проблема в том, что обычные серверные службы не умеют работать подобным образом, и для реализации указанного подхода необходимо применять сетевое туннелирование, реализованное, например, с помощью SSH или VPN, а уже в рамках туннелей разрешать подключения от сервера в DMZ к серверу внутренней сети.

Общая схема работы данного варианта выглядит следующим образом:

  1. На сервер в DMZ инсталлируется SSH/VPN сервер, а на сервер во внутренней сети инсталлируется SSH/VPN клиент.
  2. Сервер внутренней сети инициирует построение сетевого туннеля до сервера в DMZ. Туннель строится с взаимной аутентификацией клиента и сервера.
  3. Сервер из DMZ в рамках построенного туннеля инициирует соединение до сервера во внутренней сети, по которому передаются защищаемые данные.
  4. На сервере внутренней сети настраивается локальный межсетевой экран, фильтрующий трафик, проходящий по туннелю.

Использование данного варианта на практике показало, что сетевые туннели удобно строить с помощью OpenVPN , поскольку он обладает следующими важными свойствами:

  • Кроссплатформенность. Можно организовывать связь на серверах с разными операционными системами.
  • Возможность построения туннелей с взаимной аутентификацией клиента и сервера.
  • Возможность использования сертифицированной криптографии .
На первый взгляд может показаться, что данная схема излишне усложнена и что, раз на сервере внутренней сети все равно нужно устанавливать локальный межсетевой экран, то проще сделать, чтобы сервер из DMZ, как обычно, сам подключался к серверу внутренней сети, но делал это по шифрованному соединению. Действительно, данный вариант закроет много проблем, но он не сможет обеспечить главного - защиту от атак на уязвимости сервера внутренней сети, совершаемых за счет обхода межсетевого экрана с помощью IP и MAC spoofing.

Плюсы варианта:

  1. Архитектурное уменьшение количества векторов атак на защищаемый сервер внутренней сети.
  2. Обеспечение безопасности в условиях отсутствия фильтрации сетевого трафика.
  3. Защита данных, передаваемых по сети, от несанкционированного просмотра и изменения.
  4. Возможность избирательного повышения уровня безопасности сервисов.
  5. Возможность реализации двухконтурной системы защиты, где первый контур обеспечивается с помощью межсетевого экранирования, а второй организуется на базе данного варианта.
Минусы варианта:
  1. Внедрение и сопровождение данного варианта защиты требует дополнительных трудовых затрат.
  2. Несовместимость с сетевыми системами обнаружения и предотвращения вторжений (IDS/IPS).
  3. Дополнительная вычислительная нагрузка на сервера.
Аналогия с реальной жизнью
Основной смысл данного варианта в том, что доверенное лицо устанавливает связь с не доверенным, что похоже на ситуацию, когда при выдаче кредитов Банки сами перезванивают потенциальному заемщику с целью проверки данных.
  • корпоративные сети
    • Добавить метки

    Администратор распределяет Интернет-ресурсы для сотрудников компании, создавая списки запрещенных или разрешенных доменных имён, IP-адресов и т.д. При этом он может ставить ограничения по времени, или количеству трафика. В случае перерасхода, доступ в сеть Интернет автоматически закрывается.

    Внимание: Администратор всегда может предоставить руководству отчет об использовании сети каждым из сотрудников.

    • Гибкая система правил для управления доступом в Интернет:
      • ограничения по времени работы, по количеству отправленного/принятого трафика (учет трафика) за день и/или неделю и/или месяц, по количеству используемого времени за день и/или неделю и/или месяц;
      • фильтры, контролирующие доступ пользователей к нежелательным ресурсам (сайты сексуальной, игровой направленности);
      • развитая система ограничений трафика и скорости доступа для каждого пользователя. В случае перерасхода трафика, доступ в Интернет автоматически закрывается;
      • списки запрещенных или разрешенных доменных имён, IP-адресов, частей строки URL, доступ на которые запрещается/разрешается администратором;
      • возможность задавать диапазон разрешенных и запрещенных IP адресов;
      • почасовое расписание работы пользователя в Интернет;
      • фильтры, позволяющие настроить высокоэффективную «баннерорезку».
    • Подсчет и просмотр статистики работы пользователей по различным параметрам (дням, сайтам) за произвольный интервал времени. Просмотр Интернет - статистики работы пользователей в текущем месяце через HTTP, возможен только для пользователей, находящихся в локальной сети.
    • Встроенная биллинговая система автоматически производит расчёт стоимости работы пользователя в сети Интернет исходя из цены, времени и/или объёма трафика. Вы можете устанавливать тарифы для каждого пользователя отдельно либо для группы пользователей. Существует возможность переключения тарифов в зависимости от времени суток, дня недели, адреса сайта.

    Информационная безопасность офиса

    • Поддержка VPN Virtual Private Network - это объединение отдельных машин или локальных сетей в сети, безопасность которых обеспечивается механизмом шифрации данных и аутентификации пользователей.
    • Встроенный межсетевой экран (firewall) предотвращает несанкционированный доступ к данным сервера и локальной сети, запрещая соединения по определенным портам и протоколам. Функциональность брандмауэра контролирует доступ к необходимым портам, например, для публикации веб - сервера компании в сети Интернет.
    • Антивирус Касперского и Panda , интегрированные в прокси - сервер UserGate , исполняют роль фильтров: перехватывая данные, передаваемые по протоколам HTTP и FTP. Поддержка почтовых протоколов POP3 и SMTP реализована на верхнем уровне. Это позволяет использовать встроенный антивирус для проверки почтового трафика. Если письмо содержит вложенный файл с вирусом, прокси - сервер UserGate удалит вложение и сообщит об этом пользователю, изменив текст письма. Все зараженные или подозрительные файлы из писем помещаются в специальную папку в директории UserGate .
      Администратор UserGate может сам выбирать, использовать один антивирусный модуль или оба одновременно. В последнем случае, можно указать очередность проверки каждого типа трафика. Например, HTTP-трафик сначала будет проверяться антивирусом от «Лаборатории Касперского», а затем модулем от Panda Software
    • Поддержка почтовых протоколов
      POP3 – и SMTP – прокси в UserGate могут работать как с драйвером NAT, так и без него. При работе без драйвера учетная запись в почтовом клиенте на стороне пользователя настраивается особым образом. При работе с использованием драйвера (работа прокси в прозрачном режиме), настройка почты на стороне пользователя выполняется также как при прямом доступе в Интернет. В дальнейшем поддержка POP3 и SMTP протоколов на верхнем уровне будет использована для создания модуля антиспам.

    Администрирование при помощи прокси - сервера UserGate

    • Сетевые правила
      В прокси - сервере UserGate реализована поддержка технологии NAT (Network Address Translation, Трансляция сетевого адреса) и Port mapping (назначение портов). Технология NAT используется для создания прозрачных прокси, и поддерживает протоколы, отличные от HTTP или FTP.
      Прозрачный прокси позволяет пользователям работать без специальных настрокек, а администраторы освобождаются от необходимости вручную настраивать браузеры пользователей.
    • Дополнительный модуль Usergate Cache Explorer предназначен для просмотра содержимого Cache памяти. Работать с этой функцией просто: достаточно лишь при запуске указать местоположение файла ug_cache.lst из папки cache. После прочтения содержимого этого файла Usergate Cache Explorer покажет список кэшированных ресурсов. На панели управления Cache Explorer расположено несколько кнопок, позволяющих отфильтровать содержимое Cache по размеру, расширению и т.п. Отфильтрованные данные можно сохранить в какую-нибудь папку на жестком диске для дальнейшего внимательного изучения.
    • Функция назначение портов (Port mapping) позволяет привязать любой выбранный порт одного из локальных IP - интерфейсов к нужному порту удалённого хоста. Назначение портов используется для организации работы приложений «банк-клиент», игр и других программ, для работы которых необходима переадресация пакетов на определенный IP - адрес. Если необходим доступ из сети Интернет к определенному сетевому ресурсу, это тоже можно обеспечить с помощью функции назначения портов.
    • Управление трафиком: контроль и учет трафика вашей сети
      Функция “Управление трафиком” предназначена для создания правил, контролирующих доступ пользователей локальной сети в сеть Интернет, для создания и изменения тарифов, используемых UserGate .
      Внимание: Драйвер NAT, встроенный в прокси - сервер UserGate , обеспечивает максимально точный учет Интернет - трафика.
      В прокси - сервере UserGate существует возможность разделения различных видов трафиков, например, местного и зарубежного Интернет - трафиков. А также осуществляется мониторинг трафика, IP-адресов активных пользователей, их логинов, посещенных URL - адресов в режиме реального времени.
    • Удаленное администрирование позволяет системному администратору быть мобильным, потому что теперь стало возможным администрировать прокси - сервер UserGate удаленно.
    • Автоматическая и ручная рассылка пользователям информации об их трафике по e-mail, в том числе через серверы с SMTP-авторизацией.
    • Подключение к каскадному прокси с возможностью авторизации.
    • Гибкий генератор отчетов с возможностью экспорта в MS Excel и HTML.
    • Различные способы авторизации пользователей: по всем протоколам; по IP-адресу, по IP+MAC, IP+MAC (абонемент); по имени и паролю пользователя; с помощью авторизации Windows и Active Directory.
    • Импорт пользователей из Active Directory - теперь Вам не придется вручную заводить несколько сотен пользователей, за Вас всё сделает программа.
    • Планировщик заданий позволяет в указанное время выполнить одно из предопределенных действий: разослать статистику, запустить программу, установить или разорвать dial-up соединение, обновить антивирусные базы.
    • UserGate поддерживает следующие протоколы:
      • HTTP (кэширует);
      • FTP (кэширует);
      • Socks4 , Socks5;
      • POP3;
      • SMTP;
      • Любой протокол UDP/TCP по NAT (Network Address Translation) и через назначение портов.

    Экономия средств на использование сети Интернет

    При помощи встроенных фильтров UserGate блокирует загрузку рекламы из сети Интернет и запрещает доступ к нежелательным ресурсам.

    Внимание: Администратор может запретить скачивать файлы определенного расширения, например jpeg, mp3.

    Также, программа, может запоминать (кэшировать) все посещённые страницы и рисунки, освобождая канал для загрузки полезной информации. Всё это в значительной степени сокращает не только трафик, но и время, проведенное на линии.

    Прокси - сервер UserGate: учет трафика Вашей сети!

    Школьный портал поддерживает управление доступом в интернет.

    Управление осуществляется через интеграцию с прокси-сервером Squid.

    Для изменения прав доступа перейдите в меню: Сервис → Доступ в интернет... .

    Данное действие доступно только представителям администрации школы.

    Чтобы дать доступ в интернет, достаточно поставить галочку у имени пользователя (ученика, учителя), или целого класса. Чтобы отменить доступ, нужно снять галочку. Изменения применяются после нажатия кнопки "Сохранить".

    Чтобы машина в локальной сети обращалась в интернет, руководствуясь допуском, настроенным в Портале, нужно настроить её использовать прокси-сервер.

    Адрес прокси-сервера - это адрес вашего школьного сервера в локальной сети, куда установлен Школьный портал. Порт прокси-сервера - 3128 .

    При обращении пользователя в интернет через прокси-сервер будет затребован логин и пароль от Школьного портала.

    Чтобы надёжно предотвратить доступ в интернет в обход прокси-сервера, стоит проверить, что школьный сервер не предоставляет маршрутизацию в интернет интересующим машинам, а также что машины не имеют доступ через коммутатор, модем, роутер, Wi-Fi и прочее оборудование образовательного учреждения, к которому сотрудники и учащиеся имеют сетевой доступ.

    Системы контентной фильтрации (СКФ)

    Поддерживается как отсутствие СКФ, так и интеграция со множеством провайдеров.

    Настройка СКФ находится в левой колонке страницы управления доступом в интернет.

    Некоторые СКФ требует регистрации для управления списками запрещённых ресурсов (например, социальные сети, непристойные материалы, коллекции рефератов и т.д.). Изменение таких настроек производится в веб-интерфейсах на сайте самой СКФ, а не в Портале. Поддержку пользователей по вопросам качестваа фильтрации осуществляет организация, обслуживающая СКФ. В Портале выполняется лишь включение и отключение направления запросов к DNS-серверам СКФ с прокси-сервера школы и не более того.

    СКФ аналогично допуску в интернет применяется лишь к машинам, которые настроены строго через школьный прокси-сервер.

    Важно! Работу СКФ после включения необходимо проверять согласно вашим ожиданиям, так как Портал автоматически не может проверить это за вас. Условия предоставления СКФ могут измениться их производителями в любой момент. Стоит быть подписанными на новости сервиса, которым вы пользуетесь.

    Что делать, если Портал выводит надпись "Функция отключена" или что-то не работает.

    Проверки и действия в данной части статьи приведены только для Ubuntu Server 10.04 LTS:

    Все действия необходимо выполнять от пользователя root.

    1. Установлен ли squid?

    Dpkg -s squid3 | grep -i version

    Если нет, установите:

    Apt-get install squid3

    2. Есть ли эти параметры в файле конфигурации Портала?

    Auth = basic htpasswd = /var/www/sp_htpasswd sp_users_allowed = /var/www/sp_users_allowed

    Если нет, добавьте и выполните

    Pkill speedy

    3. Squid запущен? Слушает порт 3128?

    Проверка:

    Netstat -ntlp | grep 3128

    В ответ должно быть примерно следующее (1234 для примера, у вас может быть другой номер процесса):

    Tcp 0 0 0.0.0.0:3128 0.0.0.0:* LISTEN 1234/(squid)

    Как запустить Squid:

    /etc/init.d/squid3 start

    * Starting Squid HTTP Proxy 3.0 squid3

    4. Поставьте Squid в автозапуск:

    Update-rc.d squid3 enable

    5. Создайте, если нет, и задайте права доступа к служебным файлам, отвечающим за управление со стороны Портала:

    Touch /var/www/sp_htpasswd /var/www/sp_users_allowed chown www-data.proxy /var/www/sp_htpasswd /var/www/sp_users_allowed chmod 660 /var/www/sp_htpasswd /var/www/sp_users_allowed

    6. Файл конфигурации Squid-а «из коробки» не готов к интеграции, его нужно подправить.

    Сначала убедитесь, что в нем НЕТ интеграции с порталом (многократное исправление недопустимо):

    Grep "School Portal Internet Control" /etc/squid3/squid.conf

    Если строка от выполнения команды выше выводится, значит этот шаг следует пропустить.

    Однако, если файл конфигурации был изменён таким образом, что строка есть, а интеграция не заработает, возьмите исходный файл конфигурации от Squid и выполните этот шаг над ним.

    Итак, если строки НЕТ:

    6.1. Удаление правил, препятствующих интеграции и изменение страниц ошибок на русские версии:

    Perl -i-original -p -e "s!^http_access deny all$!#http_access deny all!; s!^# error_directory /usr/share/squid3/errors/templates$!error_directory /usr/share/squid-langpack/ru!;" /etc/squid3/squid.conf

    6.2. Внесение фрагмента интеграции:

    Echo " # ============================== # School Portal Internet Control # To disable replace /etc/squid3/squid.conf with /etc/squid3/squid.conf-original # ============================== auth_param basic program /usr/lib/squid3/ncsa_auth /var/www/sp_htpasswd auth_param basic children 5 auth_param basic realm Squid proxy-caching web server auth_param basic credentialsttl 2 hours auth_param basic casesensitive on acl sp_users_allowed proxy_auth "/var/www/sp_users_allowed" http_access allow sp_users_allowed http_access deny all " >> /etc/squid3/squid.conf

    Если такой блок в файле squid.conf присутствует более одного раза, удалите повторы, даже если всё работает. С повтором Squid при каждом обновлении списка допуска из портала будет сыпать в свой журнал предупреждения о переопределении правил.

    6.3. После внесения изменений, Squid нужно перезапустить.

    /etc/init.d/squid3 restart

    7. Далее воспользуйтесь веб-интерфейсом Школьного портала для раздачи доступа в интернет. Вы должны наблюдать изменение списка разрешённых логинов пользователей портала в файле /var/www/sp_users_allowed после нажатия кнопки "Применить" в веб-интерфейсе портала.

    Журналы доступа к Squid (/var/log/squid3) будут содержать логины пользователей портала. Можно использовать любые анализаторы логов, совместимые с форматом логов Squid. Интеграция с Порталом не нарушает формат журналов по умолчанию, отличие в наличии логинов из портала на месте, где стоял бы прочерк при отсутствии авторизации пользователей.

    8. Проверьте, не блокирует ли соединения фаерволл на школьном сервере и на клиентских машинах. По умолчанию на чистом в Ubuntu Server фаерволл разрешает все соединения, если вы вмешивались в его конфигурацию какими-либо средствами, обеспечьте разрешение соединений из локальной сети школы к порту 3128 сервера и исходящие соединения с сервера.

    Павлов Сергей Системный инженер компании Softmart

    В данной статье представлены наиболее популярные способы подключения офиса небольшой организации к сети Интернет. В статье не затрагиваются вопросы выбора провайдера и вопросы выбора конечного оборудования для подключения к сети. Мы исходим из того, что провайдер предоставляет организации следующее:

    1. Сетевой интерфейс Ethernet RJ45 - стандарт для сетевого оборудования в локальных сетях
    2. IP адрес - один или несколько, постоянный или динамический
    3. IP адрес шлюза и DNS

    Приведем также небольшой портрет организации, на которую рассчитана эта статья:

    1. Количество компьютеров в сети - до 30;
    2. В сети есть один файловый сервер или сервер корпоративной системы управления;
    3. Web сервер и почтовый сервер организации размещен у провайдера, а не в локальной сети предприятия;
    4. Интернет канал будет использоваться сотрудниками преимущественно для работы с электронной почтой и просмотра Web-страниц;
    5. Компьютеры и серверы организации должны быть защищены от несанкционированного доступа по каналу сети Интернет;

    Из возможных, но редко встречающихся условий можно также упомянуть:

    1. Безопасное подключение сотрудников к сети организации удаленно - из дома или другого офиса;
    2. Безопасное соединение небольших офисов разнесенных территориально;
    3. Размещений Web-сервера, почтового сервера, сервера какой-либо внутренней системы управления внутри сети организации с предоставлением свободного доступа к ним сотрудников или клиентов по сети Интернет;

    При таком подходе для организации доступа в сеть Интернет выделяется персональный компьютер или сервер. Сервер или ПК оснащается дополнительной сетевой картой. Одна из них подключается к сети провайдера, другая - к сетевому коммутатору организации.
    На шлюзе целесообразно запустить службу NAT - сетевой трансляции IP адресов.

    Достоинства такого решения:

    1. Возможность использования широчайшего списка программного обеспечения для решения разнообразных задач, например:
    для защиты сервера и сети от атак из Интернет;
    для антивирусной защиты сервера, трафика или электронной почты;
    для защиты от спама;
    для подсчета трафика;
    для управления доступом в сеть Интернет сотрудниками организации;
    2. Достаточно одного IP адреса от провайдера.
    3. Обеспечивается достаточный уровень защиты локальной сети от внешних воздействий за счет использования службы NAT.
    4. Небольшая стоимость сетевого экрана, поскольку допускаются решения для персональных компьютеров.
    5. Из сети Интернете виден только компьютер шлюза, и хакеры могут атаковать лишь этот компьютер. Локальная сеть, включая сервера и рабочие станции, им не доступна в принципе. Таким образом, при выходе из строя шлюза локальная сеть организации продолжает функционировать.

    Недостатки

    1. Если компьютер-шлюз также используется как обычная рабочая станция одного из сотрудников, например, исходя из экономии средств, то возможны серьезные проблемы с безопасностью. Пользователь, работающий на шлюзе, может своими действиями ослабить защиту сервера. Кроме того, возможны проблемы с производительностью шлюза, поскольку часть мощности компьютера будет отнимать пользователь;
    2. Крайне не рекомендуется, использовать шлюз как файловый сервер организации по причине доступности сервера из сети Интернет. Требуется мощный сетевой экран (не персональный) и работа очень квалифицированного специалиста по настройке безопасности на шлюзе. Теме не менее это очень часто встречающаяся конфигурация в небольших организациях;
    3. Требуется приобретать дополнительное программное обеспечение. Служба NAT не входит в состав операционных систем Windows, кроме Microsoft Windows XP (NAT реализован, но с некоторыми ограничениями). Стоимость сетевых экранов варьируется от десятков долларов до нескольких тысяч. Как минимум требуется специальная программа для обеспечения доступа в сеть Интернет всех пользователей локальной сети. (программа называется прокси-сервер).
    4. Требуется дополнительное устройство - сетевая карта.

    Примерная стоимость реализации данного решения:

    Персональный компьютер - шлюз

    $40 0

    Прокси-сервер

    UserGate 3.0 (10 сессий)

    $ 129

    Сетевой экран (firewall)

    Kaspersky AntiHacker

    $39

    Дополнительная сетевая карта

    D-Link DFE-530 TX

    $10

    Услуги по настройке

    Softmart

    $70

    Итого

    $648

    При таком подходе для организации доступа в сеть Интернет требуется получение дополнительного количества IP адресов от провайдера для каждого персонального компьютера в локальной сети организации. Такое решение, вероятно, обеспечивает наиболее быстрое подключение сотрудников организации к сети Интернет. Однако данное решение редко применяется при числе компьютеров в компании более двух по двум причинам:
    1. Провайдер крайне неохотно выделяет IP адреса, и сам Вам порекомендует перейти на любую другую схему подключения компьютеров в сеть Интернет.
    2. Данное решение потенциально наименее безопасно с точки зрения защиты Ваших данных от несанкционированного доступа и атак из сети.

    Достоинства:

    1. простая настройка компьютеров.
    2. не надо покупать дополнительный компьютер - шлюз.
    3. не надо покупать дополнительное программное обеспечение - прокси-сервер.

    Недостатки:

    1. На каждом компьютере требуется установить всестороннюю систему защиты.
    2. Зависит от возможности провайдера предоставить несколько IP адресов
    3. Нет статистики по использованию канала

    Стоимость релизации данного решения:

    Для каждого компьютера в сети:

    Сетевой экран (firewall)

    Kaspersky AntiHacker

    $39

    Настройка

    Softmart

    $10

    Итого

    $49

    Организация доступа с помощью устройств D-LINK

    Компания D-Link предлагает широкий спектр устройств для безопасного подключения небольших организаций к сети Интернет. Все решения можно условно разделить на два больших класса:
    1. Маршрутизаторы серии DI
    2. Файрволы серии DFL

    Устройства семейства DI были специально спроектированы для целей и задач небольших офисов. Они обладают всей необходимой функциональностью за более чем приемлемую цену. В зависимости от модели устройства могут оснащаться:
    сетевым экраном,
    точкой доступа Wi-Fi,
    встроенным прокси-сервером,
    сетевым портом подключения принтера,
    встроенным ADSL модемом
    VPN модулем

    Все устройства поддерживают:
    1. DHCP (функция динамического назначения IP адресов компьютерам в сети)
    2. NAT (функция динамической трансляции IP адресов из внутренний сети в IP адреса сети Интернет)
    3. Функцию виртуального сервера, необходимую для организации доступа к локальному серверу из сети Интернет
    4. Функцию Защищенной зоны, необходимую для организации доступа к нескольким локальным ресурсам из сети Интернет

    Достоинства



    3. Низкая цена для своего класса.
    4. Защита от атак с помощью NAT, + возможность вводить правила запрещения доменов, адресов и т.д..


    7. Возможность создании защищенных соединений в Интернете (VPN) , для связи с другими офисами.
    8. Возможность организации доступа к внутренним ресурсам локальной сети.
    9. Возможность поддержки мобильных пользователей.(Wi-Fi).
    10. Возможность подключения сетевого принтера.

    Недостатки:


    2. Есть аппаратные ограничения на количество одновременно работающих сотрудников. До 2000 одновременных соединений устройство DI выдержит без заметных отклонений по производительности.
    3. Аппаратура чувствительна к атакам изнутри, например, сетевых вирусов. При таких атаках, нагрузка на устройство резко возрастает.
    4. Само устройство слабо защищено от типовых сетевых атак. При этом данные организации и компьютеры, как правило, не страдают.
    5. Статистика по использованию канала сотрудниками недостаточно детальная.

    Примерная стоимость решения

    D -Link DI -604

    D -Link

    Настройка

    Softmart

    Итого

    Устройства семейства DFL - это уже высокопроизводительные сетевые экраны, оснащенные всеми мыслимыми и новомодными решениями по защите локальной сети и ресурсов организации от вторжения. В зависимости от конкретной модели устройство может быть, например, оснащено:
    системой обнаружения вторжений IDS
    системами обнаружения типовых атак и их отражения
    системой управления полосой пропускания
    системой балансировки нагрузки
    VPN

    Нужно подбирать модель, исходя из количества компьютеров в сети и требований по безопасности. Лучше всего обратиться за помощью к консультанту по решениям D-Link.

    Достоинства:

    1. Аппаратные решения очень надежны, компактны и неприхотливы.
    2. Устройства хорошо защищены сами от атак из Сети и хорошо защищают периметр локальной сети организации.
    3. Защита от сетевых атак, включая: SYN, ICMP, UDP Flood, WinNuke, сканирование портов, спуфинг, подмену адресов, отказ в обслуживании и др.
    4. Один раз настроенная система, в дальнейшем не нуждается в настойке.
    5. Нет выделенного компьютера - шлюза.
    6. Простая установка и настройка.
    7. Низкая цена для своего класса.
    8. Возможность создания защищенных соединений в Интернете (VPN) , для связи с другими офисами.
    9. Возможность организации доступа к внутренним ресурсам локальной сети.

    Недостатки:

    1. Настройку должен проводить квалифицированный специалист.
    2. Статистика по использованию канала сотрудниками недостаточно детальная.

    Примерная стоимость решения

    D -Link DFL -100

    D -Link

    $200

    Настройка

    Softmart

    Итого

    $230

    Заключение

    При всем богатстве выбора нам кажется, что наиболее оптимальным решением для небольшой организации является все-таки решение на основе одной из моделей устройств D-Link семейства DI. Устройства просты, компактны, доступны по цене и достаточно функциональны. Единственно в чем решения DI можно упрекнуть - это отсутствие некоторых возможностей прокси-серверов, например, статистики по объему закаченной информации по сотрудникам. Ведь именно эти данные, как правило, используются провайдерами для выставления счета за использование канала. Если эта функция жизненно необходима для Вашей организации, то стоит дополнительно рассмотреть приобретение прокси-сервера, например, UserGate от компании eSafeLine. Только не забывайте, что прокси-сервер потребует приобретение дополнительного компьютера.

    Еще на эту тему:

    Скачать Driver Sweeper – программа для удаления драйверов из OC Windows Скачать программу для удаления драйверов карты Скачать Driver Sweeper – программа для удаления драйверов из OC Windows Скачать программу для удаления драйверов карты
    Выкидывает на рабочий стол Sniper Elite V2 Что делать если лагает sniper elite 3 Выкидывает на рабочий стол Sniper Elite V2 Что делать если лагает sniper elite 3
    Поиск похожей фотографии в интернет Поиск похожей фотографии в интернет