1. Зміст статті Організація спільного доступу до інтернету користувачів локальної мережі - одна з найбільш...
2. Заборона небажаних сайтів
3. Вбудований VPN-сервер
4. Базова настройка
5. Контроль мережевих додатків
6. Керування користувачами
7. контроль користувачів
8. Налаштування брандмауера
9. підводімо Підсумки

Зміст статті

Організація спільного доступу до інтернету користувачів локальної мережі - одна з найбільш поширених завдань, з якими доводиться стикатися системним адміністраторам. Проте до цих пір вона викликає багато труднощів і питань. Наприклад - як забезпечити максимальну безпеку і повну керованість?

• Розробник: Entensys Corporation
• сайт: www.usergate.ru
• Системні вимоги: Pentium 1 ГГц, 1 Гб ОЗУ
• ОС: Windows XP / 2000/2003/7/8/2008 / 2008R2 / 2012

Сьогодні ми докладно розглянемо як організувати спільний доступ до інтернету співробітників якоїсь гіпотетичної компанії. Припустимо, що їх кількість буде лежати в межах 50-100 осіб, а в локальній мережі розгорнуті всі звичайні для таких інформаційних систем сервіси: домен Windows, власний поштовий сервер, FTP-сервер.

Для забезпечення спільного доступу ми будемо використовувати рішення під назвою UserGate Proxy & Firewall. У нього є кілька особливостей. По-перше, це чисто російська розробка, на відміну від багатьох локалізованих продуктів. По-друге, вона має більш ніж десятирічну історію. Але найголовніше - це постійний розвиток продукту.

Перші версії цього рішення представляли собою відносно прості проксі-сервери, які могли тільки забезпечувати спільне використання одного підключення до інтернету і вести статистику його використання. Найбільшого поширення серед них отримав білд 2.8, який до цих пір ще можна зустріти в невеликих конторах. Останню ж, шосту версію самі розробники вже не називають проксі-сервером. За їх словами, це повноцінне UTM-рішення, яке охоплює цілий спектр завдань, пов'язаних з безпекою і контролем дій користувачів. Давай подивимося, чи так це.

Налаштування мережевих інтерфейсів

Розгортання UserGate Proxy & Firewall

В ході установки інтерес представляють два етапи (інші кроки стандартні для інсталяції будь-якого ПО). Перший з них - це вибір компонентів. Крім базових файлів, нам пропонується встановити ще чотири серверних компонента - це VPN, два антивіруса (Panda і «Антивірус Касперського») і оглядач кеша.

Модуль VPN-сервера встановлюється за необхідності, тобто коли в компанії планується використання віддаленого доступу співробітників або для об'єднання декількох віддалених мереж. Антивіруси має сенс інсталювати тільки в тому випадку, якщо у компанії придбано відповідні ліцензії. Їх наявність дозволить сканувати інтернет-трафік, локалізувати і блокувати шкідливе ПО безпосередньо на шлюзі. Оглядач кеша забезпечить перегляд закеширувалася проксі-сервером веб-сторінок.

Заборона небажаних сайтів

Рішення підтримує технологію Entensys URL Filtering. По суті, це хмарна база даних, що містить понад 500 мільйонів сайтів на різних мовах, розбитих більш ніж по 70 категоріям. Основна її відмінність - постійний моніторинг, в ході якого веб-проекти постійно контролюються і при зміні контенту переносяться в іншу категорію. Це дозволяє з високою часткою точності заборонити всі небажані сайти, просто вибравши певні рубрики.

Застосування Entensys URL Filtering збільшує безпеку роботи в інтернеті, а також сприяє підвищенню ефективності праці співробітників (за рахунок заборони соціальних мереж, розважальних сайтів та іншого). Однак її використання вимагає наявність платної підписки, яку необхідно продовжувати щороку.

Крім цього, до складу дистрибутива входить ще два компонента. Перший з них - «Консоль адміністратора». Це окремий додаток, призначене, як це видно з назви, для управління сервером UserGate Proxy & Firewall. Головна його особливість - можливість віддаленого підключення. Таким чином, адміністраторам або відповідальним за використання інтернету особам не потрібен прямий доступ до інтернет-шлюзу.

Другий додатковий компонент - веб-статистика. По суті, вона являє собою веб-сервер, який дозволяє відображати детальну статистику використання глобальної мережі співробітниками компанії. З одного боку, це, поза всяким сумнівом, корисний і зручний компонент. Адже він дозволяє отримувати дані без установки додаткового ПЗ, в тому числі і через інтернет. Але з іншого - він займає зайві системні ресурси інтернет-шлюзу. А тому його краще встановлювати тільки в тому випадку, коли він дійсно потрібен.

Другий етап, на який варто звернути увагу в ході інсталяції UserGate Proxy & Firewall, - вибір бази даних. У попередніх версіях UGPF міг функціонувати тільки з файлами MDB, що позначалося на продуктивності системи в цілому. Тепер же є вибір між двома СУБД - Firebird і MySQL. Причому перша входить до складу дистрибутива, так що при її виборі ніяких додаткових маніпуляцій проводити не потрібно. Якщо ж ти побажаєш використовувати MySQL, то попередньо її потрібно встановити і налаштувати. Після завершення установки серверних компонентів необхідно підготувати робочі місця адміністраторів та інших відповідальних співробітників, які можуть керувати доступом користувачів. Зробити це дуже просто. Досить з того ж самого дистрибутива встановити на їх робочі комп'ютери консоль адміністрування.

Додаткові функції

Вбудований VPN-сервер

У версії 6.0 з'явився компонент VPN-сервер. З його допомогою можна організувати захищений віддалений доступ співробітників компанії до локальної мережі або об'єднати віддалені мережі окремих філій організації в єдиний інформаційний простір. Даний VPN-сервер має всі необхідні функціональні можливості для створення тунелів «сервер - сервер» і «клієнт - сервер» і маршрутизації між підмережами.

Налаштування DNS

Базова настройка

Вся настройка UserGate Proxy & Firewall ведеться за допомогою консолі управління. За замовчуванням після установки в ній вже створено підключення до локального сервера. Однак якщо ти використовуєш її віддалено, то з'єднання доведеться створити вручну, вказавши IP-адреса або ім'я хоста інтернет-шлюзу, мережевий порт (за замовчуванням 2345) і параметри авторизації.

Після підключення до сервера в першу чергу необхідно налаштувати мережеві інтерфейси. Зробити це можна на вкладці «Інтерфейси» розділу «Сервер UserGate». Мережевої карти, яка «дивиться» в локальну мережу, виставляємо тип LAN, а всім іншим підключень - WAN. «Тимчасовим» підключень, таким як PPPoE, VPN, автоматично присвоюється тип PPP.

Якщо у компанії є два або більше підключення до глобальної мережі, причому одне з них основне, а решта резервні, то можна налаштувати автоматичне резервування. Зробити це досить просто. Досить додати потрібні інтерфейси в список резервних, вказати один або декілька контрольних ресурсів і час їх перевірки. Принцип роботи цієї системи такий. UserGate автоматично із зазначеним інтервалом перевіряє доступність контрольних сайтів. Як тільки вони перестають відповідати, продукт самостійно, без втручання адміністратора, перемикається на резервний канал. При цьому перевірка доступності контрольних ресурсів за основним інтерфейсу триває. І як тільки вона виявляється успішною, автоматично виконується перемикання назад. Єдине, на що потрібно звернути увагу при налаштуванні, - це вибір контрольних ресурсів. Краще взяти кілька великих сайтів, стабільна робота яких практично гарантована.

Додаткові функції

Контроль мережевих додатків

У UserGate Proxy & Firewall реалізована така цікава можливість, як контроль мережевих додатків. Її мета - заборонити доступ до інтернету будь-якого несанкціонованого ПО. В рамках настройки контролю створюються правила, які дозволяють або блокують мережеву роботу різних програм (з урахуванням версії або без нього). У них можна вказувати конкретні IP-адреси і порти призначення, що дозволяє гнучко налаштовувати доступ ПО, дозволивши йому виконувати тільки певні дії в інтернеті.

Контроль додатків дозволяє виробити чітку корпоративну політику щодо використання програм, частково запобігти поширенню шкідливого ПЗ.

Після цього можна переходити безпосередньо до налаштування проксі-серверів. Всього в розглянутому вирішенні їх реалізовано сім штук: для протоколів HTTP (включаючи HTTPs), FTP, SOCKS, POP3, SMTP, SIP та H323. Це практично все, що може знадобитися для роботи співробітників компанії в інтернеті. За замовчуванням включений тільки HTTP-проксі, все решта можна активувати при необхідності.

Налаштування синхронізації з Active Directory

Проксі-сервери в UserGate Proxy & Firewall можуть працювати в двох режимах - звичайному і прозорому. У першому випадку мова йде про традиційний проксі. Сервер отримує запити від користувачів і переправляє їх зовнішніх серверів, а отримані відповіді передає клієнтам. Це традиційне рішення, проте в ньому є свої незручності. Зокрема, необхідно налаштовувати кожну програму, яка використовується для роботи в інтернеті (інтернет-браузер, поштовий клієнт, ICQ та інше), на кожному комп'ютері в локальній мережі. Це, звичайно, велика робота. Тим більше періодично, під час встановлення нового програмного забезпечення, вона буде повторюватися.

При виборі прозорого режиму використовується спеціальний NAT-драйвер, що входить в комплект поставки розглянутого рішення. Він прослуховує відповідні порти (80-й для HTTP, 21-й для FTP і так далі), детектирует надходять на них запити і передає їх проксі-сервера, звідки вони відправляються далі. Таке рішення більш вдало в тому плані, що налаштування програмного забезпечення на клієнтських машинах вже не потрібна. Єдине, що потрібно, - в якості основного шлюзу в мережевому підключенні всіх робочих станцій вказати IP-адресу інтернет-шлюзу.

Наступний крок - настройка пересилання DNS-запитів. Зробити це можна двома способами. Найпростіший з них - включити так званий DNS-форвардного. При його використанні надходять на інтернет-шлюз від клієнтів DNS-запити перенаправляються на зазначені сервери (можна використовувати як DNS-сервер з параметрів мережевого підключення, так і будь-які довільні DNS-сервери).

Публікація локального FTP-сервера в інтернеті

Другий варіант - створення NAT-правила, яке буде приймати запити по 53-му (стандартний для DNS) порту і переправляти їх в зовнішню мережу. Однак в цьому випадку доведеться або на всіх комп'ютерах вручну прописувати DNS-сервери в налаштуваннях мережевих підключень, або налаштувати відправку DNS-запитів через інтернет-шлюз з сервера контролера домену.

Керування користувачами

Після завершення базової установки можна переходити до роботи з користувачами. Почати потрібно з створення груп, в які згодом будуть об'єднуватися акаунти. Для чого це потрібно? По-перше, для подальшої інтеграції з Active Directory. А по-друге, групам можна привласнювати правила (про них ми поговоримо пізніше), таким чином керуючи доступом відразу великої кількості користувачів.

Наступним кроком буде внесення в систему користувачів. Зробити це можна трьома різними способами. Перший з них, ручне створення кожного аккаунта, ми зі зрозумілих причин навіть не розглядаємо. Цей варіант підходить лише для малих мереж з невеликою кількістю користувачів. Другий спосіб - сканування корпоративної мережі ARP-запитами, в ході якого система сама визначає список можливих акаунтів. Однак ми вибираємо третій, найбільш оптимальний з точки зору простоти і зручності адміністрування варіант - інтеграцію з Active Directory. Виконується вона на основі створених раніше груп. Спочатку потрібно заповнити загальні параметри інтеграції: вказати домен, адреса його контролера, логін і пароль користувача з необхідними правами доступу до нього, а також інтервал синхронізації. Після цього кожної створеної в UserGate групі потрібно присвоїти одну або кілька груп з Active Directory. Власне кажучи, настройка на цьому і закінчується. Після збереження всіх параметрів синхронізація буде виконуватися в автоматичному режимі.

Створювані в ході авторизації користувачі за замовчуванням будуть використовувати NTLM-авторизацію, тобто авторизацію по доменному логіну. Це дуже зручний варіант, оскільки правила і система обліку трафіку будуть працювати незалежно від того, за яким комп'ютером в даний момент сидить користувач.

Правда, для використання цього методу авторизації необхідно додаткове програмне забезпечення - спеціальний клієнт. Ця програма працює на рівні Winsock і передає на інтернет-шлюз параметри авторизації користувачів. Її дистрибутив входить в комплект поставки UserGate Proxy & Firewall. Швидко встановити клієнт на всі робочі станції можна за допомогою групових політик Windows.

До слова сказати, NTLM-авторизація далеко не єдиний метод авторизації співробітників компанії для роботи в інтернеті. Наприклад, якщо в організації практикується жорстка прив'язка працівників до робочих станцій, то можна використовувати для ідентифікації користувачів IP-адреса, MAC-адресу або їх поєднання. За допомогою цих же методів можна організувати доступ до глобальної мережі різних серверів.

контроль користувачів

Одне із значних переваг UGPF складають широкі можливості для контролю користувачів. Вони реалізуються за допомогою системи правил управління трафіком. Принцип її роботи дуже простий. Адміністратор (або інша відповідальна особа) створює набір правил, кожне з яких представляє собою одне або декілька умов спрацьовування і виконується при цьому дія. Ці правила присвоюються окремим користувачам або цілим їх групам і дозволяють в автоматичному режимі контролювати їх роботу в інтернеті. Всього реалізовано чотири можливих дії. Перше з них - закрити з'єднання. Воно дозволяє, наприклад, заборонити завантаження певних файлів, запобігти відвідування небажаних сайтів та інше. Друга дія - змінити тариф. Воно використовується в системі тарифікації, яка інтегрована в розглянутий продукт (ми її не розглядаємо, оскільки для корпоративних мереж вона не особливо актуальна). Наступна дія дозволяє відключити підрахунок трафіку, одержуваного в рамках даного з'єднання. В цьому випадку передана інформація не враховується при підведенні добового, тижневого і місячного споживання. Ну і нарешті, остання дія - обмеження швидкості до вказаного значення. Його дуже зручно використовувати для запобігання «забивання» каналу при завантаженні великих файлів і вирішенні інших подібних завдань.

Умов в правилах управління трафіком набагато більше - близько десяти. Деякі з них відносно прості, наприклад максимальний розмір файлу. Таке правило буде спрацьовувати при спробі користувачів завантажити файл більше зазначеного розміру. Інші умови прив'язані до часу. Зокрема, серед них можна відзначити розклад (спрацьовування за часом і дням тижня) і свята (спрацьовує в зазначені дні).

Однак найбільший інтерес представляють умови, пов'язані з сайтами і контентом. Зокрема, з їх допомогою можна блокувати або встановлювати інші дії на певні види контенту (наприклад, відео, аудіо, виконувані файли, текст, картинки та інше), конкретні веб-проекти або цілі їх категорії (для цього використовується технологія Entensys URL Filtering, см. врізку).

Примітно, що одне правило може містити відразу ж кілька умов. При цьому адміністратор може вказувати, в якому випадку воно буде виконуватися - при дотриманні всіх умов або будь-якого одного з них. Це дозволяє створити дуже гнучку політику використання інтернету співробітниками компанії, що враховує велику кількість всіляких нюансів.

Налаштування брандмауера

Невід'ємна частина драйвера NAT UserGate - міжмережевий екран, з його допомогою вирішуються різні завдання, пов'язані з обробкою мережевого трафіку. Для настройки використовуються спеціальні правила, які можуть бути одного з трьох типів: трансляції мережевої адреси, маршрутизації і файрвола. Правил в системі може бути будь-яку кількість. При цьому застосовуються вони в тому порядку, в якому перераховані в загальному списку. Тому якщо вступник трафік підходить під кілька правил, він буде оброблений тим з них, яке розташоване вище інших.

Кожне правило характеризується трьома основними параметрами. Перший - джерело трафіку. Це може бути один або кілька певних хостів, WAN- або LAN-інтерфейс інтернет-шлюзу. Другий параметр - призначення інформації. Тут може бути зазначено LAN- або WAN-інтерфейс або dial-up з'єднання. Остання основна характеристика правила - це один або кілька сервісів, на які воно поширюється. Під сервісом в UserGate Proxy & Firewall розуміється пара з сімейства протоколів (TCP, UDP, ICMP, довільний протокол) і мережевого порту (або діапазону мережевих портів). За замовчуванням в системі вже є значний набір попередньо встановлених сервісів, починаючи з загальнопоширених (HTTP, HTTPs, DNS, ICQ) і закінчуючи специфічними (WebMoney, RAdmin, різні онлайн-ігри і так далі). Однак при необхідності адміністратор може створювати і свої сервіси, наприклад описують роботу з онлайн-банком.

Створення правила з Використання Entensys URL Filtering

Такоже у шкірного правила є дія, якові вона Виконує з відповіднім під умови трафіком. Їх Всього два: дозволіті або забороніті. У першому випадку трафік безперешкодно проходить за вказаним маршрутом, а в другому блокується.

Правила трансляції мережевої адреси використовують технологію NAT. З їх допомогою можна налаштувати доступ в інтернет робочих станцій з локальними адресами. Для цього необхідно створити правило, вказавши в якості джерела LAN-інтерфейс, а в якості приймача - WAN-інтерфейс. Правила маршрутизації застосовуються в тому випадку, якщо розглядається рішення буде використовуватися в якості роутера між двома локальними мережами (в ньому реалізована така можливість). В цьому випадку маршрутизацію можна налаштувати для двобічної прозорої передачі трафіку.

Правила файрволу використовуються для обробки трафіку, який надходить не на проксі-сервер, а безпосередньо на інтернет-шлюз. Відразу після установки в системі є одне таке правило, яке дозволяє всі мережеві пакети. В принципі, якщо створюваний інтернет-шлюз не використовуватиметься як робоча станція, то дія правила можна змінити з «Дозволити» на «Заборонити». У цьому випадку на комп'ютері буде блокована будь-яка мережева активність, крім транзитних NAT-пакетів, що передаються з локальної мережі в інтернет і назад.

Правила файрволу дозволяють публікувати в глобальній мережі будь-які локальні сервіси: веб-сервери, FTP-сервери, поштові сервери та інше. При цьому у віддалених користувачів з'являється можливість підключення до них через інтернет. Як приклад можна розглянути публікацію корпоративного FTP-сервера. Для цього адмін повинен створити правило, в якому в якості джерела вибрати пункт «Будь-який», як призначення вказати потрібний WAN-інтерфейс, а в якості сервісу - FTP. Після цього вибрати дію «Дозволити», включити трансляцію трафіку і в поле «Адреса призначення» вказати IP-адресу локального FTP-сервера і його мережевий порт.

Після такого налаштування всі вступники на мережеві карти інтернет-шлюзу з'єднання по 21-му порту будуть автоматично перенаправлятися на FTP-сервер. До речі, в процесі настройки можна вибрати не тільки «рідної», а й будь-який інший сервіс (або створити свій власний). У цьому випадку зовнішні користувачі повинні будуть звертатися не на 21-й, а на інший порт. Такий підхід дуже зручний в тих випадках, коли в інформаційній системі є два або більше однотипних сервісу. Наприклад, можна організувати доступ ззовні до корпоративного порталу по стандартному для HTTP порту 80, а доступ до веб-статистикою UserGate - по порту 81.

Аналогічним чином налаштовується зовнішній доступ до внутрішнього поштового сервера.

Важлива відмінна риса реалізованого брандмауера - система запобігання вторгнень. Вона працює повністю в автоматичному режимі, виявляючи на основі сигнатур і евристичних методів спроби несанкціонованого впливу і нівелюючи їх через блокування потоків небажаного трафіку або скидання небезпечних сполук.

підводімо Підсумки

У цьому огляді ми досить детально розглянули організацію спільного доступу співробітників компанії до інтернету. У сучасних умовах це не найпростіший процес, оскільки потрібно враховувати велику кількість різних нюансів. Причому важливі як технічні, так і організаційні аспекти, особливо контроль дій користувачів.