Для хорошого фахівця з ІТ турбота про безпеку корпоративної мережі коштує на першому місці, і програмні proxy-сервери виступають для нього в ролі миротворців, які позбавляють від конфліктів з керівництвом і співробітниками компанії з приводу використання каналу в Internet. Все очевидно: додатки даного класу дозволяють зменшити навантаження на мережу, забезпечити належну безпеку інфраструктури та знизити витрати на трафік.
У цій статті ми розглянемо один з таких продуктів, вірніше нову версію продукту UserGate 4.2.0 (сайт компанії-виробника www.usergate.ru , Розмір файлу дистрибутива 5,5 Мбайт). Установка програми надзвичайно проста: все, що потрібно, це вказати потрібні мережеві інтерфейси, які програма буде відстежувати. Після перезавантаження системи в системному лотку з'являється значок утиліти UserGate Agent: команда Start UserGate Administrator з його контекстного меню вказує на те, що настав час приступати до налаштування proxy-сервера.
Створення облікових записів
Для початку адміністратору слід запустити proxy-сервер, підключитися до нього (екран 1) і визначитися з доцільністю запуску UserGate в якості системної служби (команда Install Service в програмній групі меню кнопки «Пуск»). Розробники однозначно рекомендують запускати proxy-сервер в якості служби, оскільки даний метод не тільки надійніше, але і дозволить не реєструватися щоразу для запуску UserGate.
За замовчуванням у програмі пропонується єдина обліковий запис - default (застосовується як для груп, так і для користувачів) з IP-адресою 127.0.0.1. Навряд чи нас влаштує безликий користувач - розглянемо процес створення облікового запису співробітника на прикладі хрестоматійного персонажа на ім'я Vasya_Pupkin.
Умови завдання: серверна система обладнана двома мережевими інтерфейсами - перший пристрій має IP-адресу 192.168.2.10 і безпосередньо включено до Internet-каналу, до другого пристрою з призначеним IP-адресою 192.168.3.10 і зазначеним системним шлюзом 192.168.2.10 будуть підключатися робочі станції. Для обох мережевих карт вказана маска підмережі 255.255.255.0, але для другої карти (з IP-адресою 192.168.3.10) не вказувалися адреси DNS-серверів. Призначена для користувача система має IP-адресу 192.168.3.15, таку ж маску підмережі, але в якості основного шлюзу і першого DNS-сервера вказаний IP-адреса другий мережевої карти - 192.168.3.10 (зрозуміло, конкретна мережа має інші параметри). Рішення можливо двома способами реалізації proxy-сервера: непрозорим і прозорим. Почнемо з першого.
У розділі «Користувачі та групи> Користувачі» натиснемо кнопку «Додати» і у вікні «Новий користувач» вкажемо IP-адреса робочої станції (екран 2), електронну адресу співробітника (необов'язково) і метод авторизації - спочатку пропонується авторизація по IP-адресою, що, на наш погляд, представляється оптимальним варіантом. При бажанні можна вибрати авторизацію по MAC-адресу мережевого адаптера, комбінований спосіб (IP-адреса + MAC-адресу) або ж задіяти будь-який з дев'яти запропонованих типів.
Для зниження навантаження на мережу доцільно встановити обмеження швидкості (за замовчуванням обмежень немає), після чого задіяти встановлені правила NAT (Network Address Translation, або трансляція мережевих адрес). Які правила включити, а які - ні (наприклад, правило для протоколу ICQ), вирішувати виключно адміністратору. Зверніть увагу, що відключення тих чи інших правил можливо тільки в настройках групи (до слова сказати, створення облікового запису користувача груп ще простіше).
Не думаю, що оплата вхідного трафіку для кожного користувача буде актуальна в організаціях, зате в локальних мережах і деяких Internet-кафе досі практикується даний метод обліку. У розділі «Управління трафіком> Тарифи» натисніть кнопку «Додати» і вкажіть суму, в яку обходиться мегабайт вхідного трафіку (при бажанні можна вказати вартість однієї години користування комп'ютером, див. Екран 3).
Налаштування proxy-сервера
Наступний крок - настройка proxy-сервера, який ще не готовий до «роздачі» мережевого трафіку. У розділі «Сервіси> Налаштування proxy» ми включили режим перенаправлення DNS і в нижньому текстовому полі вказали IP-адреса провайдера служби DNS. Зверніть увагу, що на вкладці «Налаштування proxy» вже включені основні протоколи і порти для другого мережевого інтерфейсу нашої серверної системи. Все, що потрібно, - двічі клацнути по рядку з потрібним протоколом і у вікні «Налаштування ... proxy» включити мережевий інтерфейс, з яким будуть з'єднуватися призначені для користувача системи. У нашому прикладі це друга мережева карта з IP-адресою 192.168.3.10 (екран 4). Зрозуміло, ніхто не забороняє змінити номер порту для певного протоколу.
Необхідно зберегти зміни, після чого proxy-сервер можна допускати до роботи. В налаштуваннях підключення користувальницьких комп'ютерів ( «Панель управління> Властивості оглядача> Підключення> Налаштування LAN» (екран 5)) буде потрібно встановити прапорець використання proxy-сервера і вказати потрібні параметри. Все - можна привітати себе, порадіти за користувачів і засмутитися через додаткової рутинної роботи: навряд чи вам захочеться вказувати параметри proxy на кожній робочій станції.
Якщо парк комп'ютерів великий, скористайтеся технологією прозорого proxy: в цьому випадку всі клієнтські запити будуть перенаправлятися з стандартного порту TCP на порт HTTP, що дозволить співробітникам працювати, не знаючи нічого про proxy-сервері, а системним адміністраторам - позбутися від ручної настройки призначених для користувача комп'ютерів. Ще раз повернемося до екрану 4 і звернемо увагу на прапорець «Прозорий proxy» - як бачите, все досить просто.
Тепер перейдемо до розділу «Мережеві правила» і запустимо «Майстер налаштування NAT», який запропонує вказати потрібні мережеві інтерфейси (екран 6), список служб, які будуть доступні користувачам, і групу, для якої налаштовується proxy. Слід зауважити, що в програмі використовується власний драйвер NAT, завдяки якому здійснюється перенаправлення пакетів по протоколах TCP / UDP з локальної мережі в глобальну і назад. Типові приклади - використання фірмової програми в продуктах Webmoney, ICQ і Yahoo Messenger.
Однак поки proxy-сервер налаштований на обмеження лише частково. Як відомо, деякі користувачі люблять завантажувати файли і переглядати Web-сторінки не дуже пристойного змісту (які, в свою чергу, напхані різними шкідливим кодом). Навряд чи завантаження MP3-файлів або відеофільмів підвищить ефективність роботи старшого менеджера, тому скористаємося функцією створення правил, що обмежують мережеву активність співробітників (або, якщо завгодно, клієнтів).
створення правил
Заборони створюються в розділі «Управління трафіком> Правила»: спочатку дозволено все, що зазначено в правилах NAT. Припустимо, що адміністратору потрібно заборонити завантаження згадуваних MP3-файлів. Вікно створення правила, яке викликається кнопкою «Додати», містить п'ять секцій. В поле «Ім'я правила» секції «Основне» впишемо назву правила, наприклад «МР3», виберемо тип логіки «І», після чого в списку «Об'єкт» клацнемо на пункті «З'єднання», який буде потрібно «Закрити» (список «Дія» , см. екран 7). Іншими словами, при спробі завантаження «кримінального» файлу Internet-з'єднання з Web-ресурсом буде розірвано.
Друга, третя і четверта секції нам не потрібні - відразу перейдемо в п'яту секцію «Фільтри», де в нижній частині вікна слід вибрати параметр «Рядок повністю». У розділі «Список URL-адрес» натиснемо кнопку «Додати URL» і створимо фільтр * .mp3 * (екран 8). Для інших варіантів настройки будуть актуальні параметри інших секцій, наприклад фільтрація по протоколам (друга секція); обмеження по днях тижня, годиннику і навіть свят (третя секція), а також ліміти за обсягом трафіку і часу підключення до Internet (четверта секція). Більш того, можлива фільтрація по залишку рахунку користувача: наприклад, з'єднання буде розірвано при нульовому балансі клієнта.
Слід зауважити, що розробники безкоштовно пропонують завантажити два файли фільтрів: для рекламних банерів і порноресурсов. Ці фільтри імпортуються натисканням кнопки «Імпортувати URLs» в п'ятій секції вікна створення правил.
Намалюйте мені порт
У певних випадках життєво необхідно з'єднання певного порту одного з локальних мережевих інтерфейсів з потрібним портом віддаленого хоста. UserGate дозволяє здійснити дану операцію за допомогою технології призначення портів (Port mapping). Типовий приклад використання призначення портів - організація роботи додатків «банк-клієнт», підключення до ігрових серверів (актуально для ігрових клубів) та інших програм, які потребують переадресація мережевих пакетів на певний IP-адреса.
Припустимо, що нам потрібно дозволити доступ до грошової системі Webmoney: в розділі «Мережеві правила> Призначення портів» скористаємося знайомої кнопкою «Додати». У вікні «Нове призначення» в поле «Ім'я» впишемо назву переадресації портів, після чого в списку «Слухати IP-адреса: порт» потрібно вибрати IP-адреса мережевого інтерфейсу, на якому UserGate буде прослуховувати клієнтські запити на заданому порту. У списку «Адреса призначення: порт» адміністратор вкаже або IP-адреса, або доменне ім'я ресурсу укупі з номером порту, до якого потрібно підключатися (екран 9).
Завжди на сторожі
Як відомо, найбільш актуальною проблемою для кінцевого користувача були і залишаються комп'ютерні віруси, черв'яки і троянські програми. За статистикою провідних антивірусних компаній, більше 95% всіх шкідливих програм, які розповсюджуються в глобальній мережі, - це мережеві черв'яки, з яких 99% припадає на частку поштових черв'яків. Повторимо ще раз: не будь користувач так безтурботний, епідемії поштових черв'яків не мали б настільки сумних наслідків.
UserGate поставляється з двома антивірусними продуктами: Kaspersky Antivirus і Panda Antivirus. Налаштування обох продуктів розташовані в розділі «Антивіруси» вікна адміністрування (за замовчуванням антивіруси відключені). Яким додатком користуватися - вирішувати адміністратору, я ж хочу згадати про функції перевірки електронної пошти, архівних файлів, HTTP-трафіку і FTP-трафіку (екран 10). Причому можна призначити черговість перевірки: наприклад, Web-трафік і FTP-трафік спочатку перевірить Kaspersky Antivirus, а Panda Antivirus в першу чергу займеться контролем електронної пошти.
Однак, навіть озброївшись антивірусним пакетом, не можна бути впевненим у надійній захищеності комп'ютера. Причина - велика кількість інших шкідливих програм і проникнення на комп'ютер ззовні. Для боротьби з останньою напастю ефективне використання міжмережевих екранів або брандмауерів, які здійснюють фільтрацію вхідного і вихідного трафіків. Брандмауер використовує, як правило, кілька наборів «правил» для перевірки мережевих пакетів при їх вході або виході через мережеве з'єднання, дозволяючи або проходження трафіку, або його блокування.
При використанні UserGate додаткових витрат не буде - продукт містить вбудований міжмережевий екран, який запобігає несанкціонований доступ до даних сервера і локальної мережі, забороняючи з'єднання по визначених портах. При необхідності можна відкрити доступ до потрібних портів, наприклад для публікації Web-ресурсу організації в Internet. Слід врахувати, що програмний брандмауер обробляє лише ті пакети, які не були зазначені при створенні правил NAT; проте, якщо пакет був оброблений драйвером NAT, він не потрапляє під «юрисдикцію» брандмауера.
Спочатку міжмережевий екран пропонує правило # NOUSER # (екран 11), яке діє дуже просто: забороняє все, що не було дозволено, або, навпаки, дає «добро» на все, що не заборонено. Рішення приймається виходячи з обраних дій - «Блокувати» або «Пропустити» (спочатку вибрано дію «Пропустити»). Однак слід врахувати, що при виборі дії «Блокувати» в правилі # NOUSER # будуть блоковані всі пакети, окрім тих, що були задані в правилах NAT, а також трафіку, що пройшов через порти, відкриті за допомогою Port Mapping і зазначені в розділі «Налаштування proxy »(HTTP, FTP, Socks, POP3 і SMTP).
Справа в тому, що згадані порти будуть вказані в автоматично створюваних правилах брандмауера, відображених в нижній частині вікна налаштувань брандмауера (тип auto). До слова сказати, в таких «автоматичних» правилах вказується порт 2345 протоколу TCP, використовуваний вже перевірений адміністратором сайту модулем UserGate для підключення до серверної частини.
Економна економіка
Описуючи UserGate, необхідно згадати про інструменти, що забезпечують суворий облік призначеного для користувача трафіку і часу перебування в мережі. У розділі «Облік трафіку» в реальному часі відображається статистика клієнтів: вам покажуть обсяги вихідного і вхідного трафіків, час підключення і - якщо необхідно враховувати витрати за трафік - залишок на рахунку користувача і поточні витрати. Так, наприклад, на екрані 12 ми бачимо, що наш Vasya_Pupkin, перебуваючи на просторах Internet 24 хвилини 52 секунди, примудрився завантажити 94,37 Мбайт, витративши на це 0,6 у.о. (Див. Екран 12).
За замовчуванням статистика виводиться в кілобайтах, але цей параметр можна змінити, так само як і період оновлення даних, - спочатку пропонується виводити інформацію кожні дві хвилини. Операції з коштами користувача здійснюються надзвичайно просто - достатньо двічі клацнути на рядку облікового запису в розділі «Облік трафіку». Гроші, внесені клієнтом, зараховуються на його рахунок одним натисканням кнопки (екран 13).
Більш детальна статистика доступна у відповідному розділі програмної групи в меню кнопки «Пуск», де міститься вся інформація про мережеву активність не тільки груп і користувачів, а й конкретних IP-адрес і самого сервера, причому буде представлений звіт про трафік з будь-якого мережевого протоколу за будь-який період часу (екран 14). При бажанні можна експортувати звіти в формат Microsoft Excel.
Євген Яворських ( [email protected] ) - ІТ-менеджер
Ціна питання
Ліцензія на UserGate діє безстроково для однієї серверної системи. Вартість ліцензії залежить від потреб організації в кількості сесій (в даному випадку під сесією слід розуміти одну сесію активного мережного комп'ютера незалежно від кількості клієнтських програм, підключених до Internet). Компанії будь-якого рівня можуть без зусиль визначити для себе потрібну модифікацію: ціна варіюється від 2040 рублів (5 сесій) до 23 730 рублів (200 сесій). Безлімітний версія обійдеться в 26 970 рублів.
Що стосується апаратної частини серверної системи, то напевно в будь-якій організації знайдеться комп'ютер з процесором не менше ніж на 700 МГц і оперативною пам'яттю об'ємом 256 Мбайт. Програмні файли займуть не більше 10 Мбайт дискового простору; для кеш-файлів і файлів журналів буде потрібно не менше 100 Мбайт. Як бачите, конфігурація серверного комп'ютера досить демократична.
