Удаленное управление доступом в Интернет (родительский контроль)

Это руководство описывает процесс настройки компьютеров под управлением операционных систем семейства Windows XP, 7 или Linux (Ubuntu) для удаленного управления доступом к сайтам сети Интернет.

Руководство подробно не описывает приемы работы с сервисом Rejector, речь о котором пойдет ниже, оно лишь позволяет настроить компьютер так, чтобы в полной мере использовать его возможности.

Все используемые средства относятся к ряду бесплатного или открытого программного обеспечения.

Введение

Интернет - прекрасное средство для обучения, отдыха или общения с друзьями. Но в сети помимо полезной информации, есть и нежелательная для вашего ребенка. Кроме этого, многочасовое сидение в Интернете может отвлечь от других важных занятий, таких как домашние задания, спорт, сон или общение со сверстниками. Поэтому, необходимо контролировать деятельность ребенка в Интернете.

Существует много разных методов контроля, но не всегда они являются эффективными. Уговоры и воспитательные беседы могут действовать весьма непродолжительное время, ведь нахождение в сети может ребенка увлечь настолько, что он забудет о всех уговорах. А запреты могут негативно сказаться на развитии полезных навыков поиска и обучения в Интернете.

В таких случаях вам помогут специальные программы по ограничению и контролю доступа к сети. С помощью них вы можете оградить вашего ребенка от негативных влияний Интернета, но при этом предоставить свободу действий. Одной из таких средств Система контроля доступа к Интернету Rejector.

Rejector — это централизованный проект для контроля доступа к сети Интернет. Он позволит вам оградить детей и подростков от опасной информации. По сути Rejector — это DNS-сервер с возможностью удаленного им управления.

Как это работает?

Вы регистрируетесь, добавляете свои IP, настраиваете параметры доступа. Вы можете использовать сервис и без регистрации, но тогда вы не сможете использовать все его возможности.

Ваши компьютеры настраиваются так, что бы все DNS запросы посылались на DNS сервера Rejector 95.154.128.32 и 176.9.118.232.

Каждый запрос проверяется на соответствие вашим настройкам, такие как запрещенные категории или сайты, разрешенные или запрещенные сайты, списки закладок или сайты мошенники, и в случае подтверждения блокирования, запрос перенаправляется на страницу запрета.

Эту страницу вы можете настроить на своё усмотрение.

Разрешенные запросы, прошедшие проверку, попадают в общий кэш запросов для быстрой выдачи всем клиентам.

Более подробное описание продукта Rejector вы можете найти на официальном сайте rejector.ru

Инструкция по настройке системы

1. Создадим пользователя с обычными правами

Обычно, при установке операционной системы создается пользователь с правами Администратора. Такой пользователь может производить все возможные действия, предоставляемые операционной системой в плоть до удаления самой системы.

Чтобы исключить обратимость всех наших дальнейших действий со стороны пользователя, которого мы берем под контроль, создадим пользователя с ограниченными правами, а Администратору — нам задействуем пароль.

В системе Windows это делается через Панель управления; в Linux создание пользователя доступно через Параметры системы.

2. Настроим сетевое соединение

Rejector — это сервис, который представляет собой, по сути, DNS сервер. Для работы с ним нужно прежде всего настроить сетевое соединение так, что бы DNS запросы посылались на DNS сервера Rejector 95.154.128.32 и 176.9.118.232.

В Windows и Linux это делается по разному.

Windows XP

Windows Vista

Подробная инструкция находится по адресу

Windows 7

Подробная инструкция находится по адресу

В большинстве операционных систем семейства Linux для настройки сети используется программа Network Manager. Для того, чтобы изменить DNS — сервер, делаем следующее:

Нажимаем ПКМ на индикаторе соединения и, в контекстном меню, выбираем пункт Изменить соединение

Если вы используете DHCP сервер при подключении к Интернету то, в параметрах IPv4 изменяем Способ настройки на Автоматический (DHCP, только адрес)

В поле Серверы DNS вводим два адреса через запятую 95.154.128.32, 176.9.118.232

Делаем соединение Доступным для всех пользователей и Автоматически подключаемым

3. Регистрируемся на сайте Rejector

В принципе, с этого можно было и начать. Но теперь, когда одна из сложностей позади, это мы делаем легко и просто. Переходим по ссылке и заполняем простую форму для регистрации.

4. Добавляем управляемую сеть

Зарегистрировавшись на сервисе, мы можем создавать необходимое число сетей или, что, в принципе, одно и тоже — клиентов, которыми мы будем управлять. Сети (Клиенты) идентифицируются на сервисе по их IP-адресу. Поэтому, чтобы управлять доступом в Интернет какого-то компьютера нужно знать его IP-адрес. Пока просто создадим Сеть через Панель управления на сайте Rejector по адресу.

Заполняем форму Добавления сети. Название сети — здесь вы можете указать имя вашего ребенка, если у него свой компьютер и вы хотите его контролировать. Статус — скорее всего, у вас будет Динамический IP-адрес (редкий провайдер выделяет для своих клиентов Статический адрес бесплатно), поэтому выбираем этот переключатель. Идентификатор сети — можно записать латиницей имя, которое вы указали в первом поле.

5. Отправка IP-адреса

Для работы сервиса, ему нужно постоянно «знать» IP-адрес клиента, который может меняется от подключения к подключению (Динамический IP-адрес). Это основная проблема, которая решается в этом руководстве.

Сами разработчики сервиса предлагают программу Rejector Agent, которая отправляет IP-адрес клиента на сервер. Но, эта программа не может работать автономно. Поэтому мы воспользуемся другой предоставленной возможностью. А именно — обновление с помощью HTTP-запроса (описание по ссылке).

Чтобы производить обновление сведений Клиента посредством HTTP-запроса в фоновом режиме, нам понадобится программа Curl. Эта программа способна отправлять забросы по протоколу HTTP в Интернет через командную строку. Параметры к этой программе мы зададим в скрипте; для Windows это будет bash-файл для Linux — sh.

Программа Curl распространяется свободно и имеет версию для Windows, поэтому мы будем использовать ее в обоих средах. Для Windows последнюю версию программы можно скачать по ссылке. Чтобы установить, достаточно распаковать содержимое поолученного архива в папку C:\WINDOWS\SYSTEM32 (это упростит запуск программы). В операционной системе семейства Linux она, скорее всего, уже будет установлена.

6. Скрипт регулярного обновления IP-адреса

На сайте предлагается следующий HTTP-запрос http://username:[email protected]/ni...,
который обновит значение IP адреса. Мы будем подставлять его в качестве параметра для программы curl.

Запрос на обновление адреса должен отправляться с того компьютера, который мы хотим контролировать. Из-за того что текстовый терминал обрабатывает команды особым образом, текст запроса пришлось немного изменить. Текст сценария для Windows и Linux приведен ниже.

Для Windows

:loop
curl "http://login%%40mail-server.com :password @updates.rejector.ru/nic/update?hostname=net-name "
# Делаем задержку в 300 секунд
ping -n 300 127.0.0.1 > NUL
echo 111
goto loop

Где login%%40mail-server.com — ваш почтовый ящик, с помощью которого регистрировались на Rejector (знак @ заменен на %%40); password — пароль; net-name — имя сети на сервисе Rejector.Поместите текст скрипта в обычный текстовый файл, замените расширение на.bat и вы получите исполняемый сценарий.

Для Linux

#! /usr/bin/sh
while true; do curl -u [email protected] :password "http://updates.rejector.ru/nic/update?hostname=... sleep 300; done;

Здесь все аналогично записи для Windows. Запишите этот текст в текстовый файл с расширением sh.

Оба скрипта содержат пароль аккаунта Rejector в открытом виде, поэтому необходимо скрыть их содержимое от просмотра для обычного пользователя. В Linux и Windows это реализовано по разному

Для того, чтобы запретить просмотр и редактирование созданного нами этого необходимо изменить владельца и группу файла на root и запретить всем, кроме владельца, доступ к файлу. Если вы владеете навыками работы в командной строке, то вам нужно перейти с помощью команды cd в каталог с файлом скрипта и выполнить команду chown root:root skcript.sh и chmod 700 script.sh. ,Чтобы сделать то же самое в графической оболочке, нужно сначала запустить файловый менеджер с правами администратора, найти файл скрипта и изменить Права, используя контекстное меню.

Не вдаваясь в то как можно изменить права доступа к файлу подобно в Linux, применил следующее решение. Преобразуем наш исполняемый файл в EXE-файл, чтобы скрыть его содержимое. Для этой цели воспользуемся бесплатной программой Bat To Exe Converter. Предлагаю скачать ее русифицированную версию по ссылке или на официальном сайте программы. Программа не требует пояснений в работе. На входе ставим наш bat-файл на выходе получаем exe-файл.

7. Ставим на автоматический запуск

Осталось сделать последний шаг. Сделаем автоматический запуск программы вместе с запуском системы. В Linux и Windows это делается по разному.

Заходим в систему от имени Администратора и перемещаем наш исполняемый файл.exe в папку PogramFiles. В домашнем каталоге пользователя находим папку Главное меню , в ней Программы , Автозапуск куда и помещаем ярлык от нашей программы (это можно сделать путем перетаскивания самой программы с зажатой клавишей Shift). Готово.

Поместим исполняемый файл в папку /usr/bin . Отредактируем файл запуска локальных приложений системы /etc/rc.local , добавив в нем строчку перед exit 0.

/usr/bin/script.sh

где script.sh — имя нашего файла.

На этом настройка системы закончена. Можно заходить на сервис Rejector и настраивать режим работы сети.

Все большему числу предприятий сегодня становится необходимо подключить свои компьютерные сети к Интернету. За работу канала доступа обычно отвечает Интернет-провайдер (ISP), но и системному администратору компьютерной сети предприятия, даже небольшого, приходится решать ряд организационных и технологических задач. В данной статье мы не будем рассматривать почтовые службы, IP-телефонию и виртуальные частные сети (VPN), а ограничимся доступом к Web- и ftp-сервисам на базе ОС FreeBSD и прокси-сервера SQUID в корпоративной сети, охватывающей до 100 рабочих мест.

Два метода

Существует два основных метода предоставления пользователям корпоративной сети доступа к Web- и ftp-сервисам: посредством маршрутизации (трансляции) или через прокси-сервер.

В первом случае (рис. 1) доступ предоставляется по IP-адресу компьютера, на котором работает сотрудник. Такую схему можно полностью реализовать на базе программного решения - шлюза ОС FreeBSD и брандмауэра IPFW. Кроме того, существуют комплексные специализированные аппаратно-программные шлюзы. Для терминальных рабочих мест организация доступа по IP-адресам технически невозможна, так как все они используют один IP-адрес терминального сервера.

Для сопряжения рабочих станций пользователей с каналом Интернета используется шлюз в виде х86-сервера с установленными на нем ОС FreeBSD, программой NATD (обеспечивающей трансляцию внутренних IP-адресов в реальный IP-адрес сервера и обратно), IPFW, включенной маршрутизацией и двумя сетевыми интерфейсами: один из них "смотрит" в сторону локальной сети, другой подключен к провайдеру. На каждой клиентской машине в свойствах протокола TCP/IP сетевой карты необходимо прописать IP-адрес шлюза.

Во втором случае происходит авторизация пользователя по имени доступа (login) и паролю, выделенному сотруднику. Этот вариант, в частности, можно реализовать при помощи прокси-сервера SQUID и системы аутентификации ncsa_auth. Рассмотрим типовую схему (рис. 2), где SQUID установлен на шлюзе сети: сервер "смотрит" одним интерфейсом в локальную сеть, а другим подключен к Интернет-каналу. При такой установке SQUID для работы в Интернете (по HTTP, FTP и DNS) на машинах в локальной сети не требуется NATD и маршрутизации, поскольку все запросы к ресурсам Интернета SQUID отправляет "от себя" - с IP-адресом внешнего интерфейса шлюза. Службу DNS на компьютерах клиентов можно отключить, поскольку сам SQUID обращается к DNS.

Рис. 2. Доступ в Интернет через прокси-сервер.

Как правило, в корпоративной сети используется электронная почта, и для ее работы маршрутизация и NATD на шлюзе все равно понадобятся, но для Web-почты, работающей по протоколу HTTP, достаточно прокси-сервера SQUID.

"Скачанные" из Интернета данные SQUID передает пользователю и сохраняет в своем кэше. При повторном запросе эти данные извлекаются уже из кэша (если, конечно, Web-страница допускает кэширование), что происходит гораздо быстрее и не занимает к тому же канал доступа. Кроме более эффективного использования пропускной способности канала, получается экономия и на объеме трафика (по данным автора, в среднем за месяц она составляет 13%). Данные в кэше могут обновляться в зависимости от настройки самого прокси-сервера. При нажатии кнопки "Обновить" на панели управления браузера прокси-сервер принудительно копирует данные с Web-сервера, даже если они есть у него в кэше и не устарели (а заодно и обновляет их в кэше). Но некоторые страницы на Web-сайтах специально помечаются как некэшируемые, например, для целей повышенной актуальности.

Кроме собственно доступа, системному администратору необходимо еще решить проблемы авторизации доступа, учета трафика и времени работы пользователей в Интернете, обеспечения безопасности локальной сети предприятия. Необходимо также определить правила распределения пропускной способности Интернет-канала между пользователями сети и правила доступа к ресурсам Интернета; возможно, потребуется установить и другие ограничения для пользователей.

Все эти процедуры, в зависимости от принятого типа доступа (по IP-адресу или через прокси-сервер), имеют свои особенности.

Аутентификация

Аутентификация по IP-адресу компьютера не предусматривает защиты доступа в Интернет паролем. Пользователи, зная пароли на доступ к рабочей среде ОС других машин предприятия, могут работать на различных компьютерах. Поэтому, если несколько сотрудников используют один компьютер для работы в Интернете, разделить их трафик при учете невозможно.

Существует вариант подмены IP-адреса; правда, есть и вариант противодействия - статическая таблица ARP (Address Resolution Protocol - протокол преобразования IP-адресов в MAC-адреса/аппаратные адреса сетевых карт) на шлюзе, где прописаны соответствия IP-адрес - MAC-адрес сетевой карты рабочей станции. В общем, IP-аутентификация не обладает достаточной гибкостью и достоверностью и допускает только подсчет суммарного объема трафика.

В случае прокси-сервера пользователям корпоративной сети, получившим разрешение на доступ в Интернет (HTTP, FTP, ICQ), присваивается идентификационная пара: имя (login) и пароль (password). Подобная схема тоже позволяет выходить в Интернет с одного компьютера различным пользователям (главное, чтобы в клиентских программах были прописаны параметры прокси-сервера). Учет трафика будет вестись по каждому пользователю (логину) отдельно. Аутентификацию обеспечивает прокси-сервер SQUID под управлением ОС FreeBSD, а программная подсистема ncsa_auth хранит пароли в зашифрованном формате MD5. SQUID может использовать различные механизмы внешней аутентификации.

Работа в Интернете через прокси-сервер должна поддерживаться клиентским ПО: в его настройках прописывается DNS или IP-адрес прокси-сервера, а также его TCP-порт. Все современные браузеры и клиент ICQ поддерживают работу через прокси-сервер и аутентификацию на нем. Аутентификация может происходить при каждом подключении (запрашиваются логин и пароль) или быть постоянной (не требующей ввода имени и пароля, при этом в настройках клиентской программы прописывается имя пользователя из списка аутентификации прокси-сервера и пароль). Аутентификация происходит однократно и действует до закрытия программы-клиента. По окончании работы в Интернете пользователь просто закрывает браузер и тем самым прерывает разрешенную сессию.

Учет трафика

Учет трафика по IP-адресам рабочих станций ведется средствами IPFW - программного брандмауэра, встроенного в ядро ОС FreeBSD. Для достоверного учета трафика по пользователям при такой схеме доступа сотрудники должны выходить в Интернет только с закрепленных за ними рабочих мест, что, естественно, ограничивает гибкость и мобильность их работы.

Тем не менее такой подход имеет и свое преимущество - более точный учет суммарного объема трафика по IP-протоколу. Эта процедура реализуется с помощью установки двух правил COUNT брандмауэра IPFW:

Count ip from any to any in via de0 count ip from any to any out via de0

Первое правило учитывает входящий поток, второе - исходящий. Здесь de0 - внешний сетевой интерфейс шлюза, который имеет реальный IP-адрес в Интернете. В то же время при такой схеме невозможно протоколировать имена ресурсов, посещаемых пользователями, а также имена и размеры скачанных файлов.

При использовании прокси-сервера учет трафика ведется по протоколу HTTP, и объем таких данных меньше, чем величина IP-трафика. Но при аутентификации по пользователям SQUID заносит все данные о запросах (DNS-адреса сайтов, время получения запроса, объем скачанных файлов, источник - кэш SQUID или Интернет) в журнал по каждому пользователю, вне зависимости от IP-адреса клиентской машины.

Безопасность подключения к Интернету

Подключение физического канала Интернет напрямую в корпоративную сеть равносильно вынесению рабочих мест своего предприятия на людную площадь. Как правило, информация, циркулирующая в локальной сети, критически важна для деятельности предприятия, и вредоносное воздействие вирусов (например, почтовых), атака извне или утечка данных изнутри могут полностью нарушить его работу.

Вредоносное воздействие вирусов трудно недооценить, но решение этой проблемы на 90% зависит от осведомленности пользователей - не запустит ли кто вложенный в письмо вирус. Вирусные атаки можно блокировать и отражать антивирусными программами на почтовых серверах (Dr.Web, McAfee, "Антивирус Касперского Business Optimal" и т. д.) и на компьютерах пользователей (Norton Antivirus, соответствующие продукты "Лаборатории Касперского" и т. д.). Главное при этом - своевременное обновление антивирусных баз.

Атаки извне, в зависимости от того, как организовано подключение, блокируются грамотной настройкой шлюза, применением прокси-сервера на шлюзе без NAT и маршрутизации, а также вынесением прокси-сервера, почтового и Web-сервера в "демилитаризованную зону" (DMZ, подсеть корпоративной сети, доступная из Интернета).

Утечки корпоративных данных имеют в основном организационную природу и составляют самую сложную проблему для службы безопасности предприятия. Существуют технические решения, минимизирующие возможность этого: в частности, закрытие всех TCP/UDP-портов на интерфейсе шлюза, "смотрящем" в локальную сеть (остается только порт прокси-сервера). Должна быть отключена маршрутизация и преобразование адресов (NAT) между Интернетом и внутренними ("серыми") IP-адресами сети предприятия.

Перечисленные меры используются, когда прокси-сервер установлен на шлюзе, но более защищенной считается система с прокси-сервером, вынесенным в DMZ.

Наиболее полную защиту обеспечивает физическое разделение локальной корпоративной сети и Интернета. В этом случае на предприятии организуется компьютерная сеть для работы в Интернете, не связанная с локальной сетью каналами передачи информации. Данные, которые необходимо отправить по электронной почте, переносятся на сменных носителях (например, компакт-дисках), которые проверяются службой безопасности и шифруются, например, с помощью PGP - бесплатной программы шифрования почтовых сообщений и файлов.

Распределение пропускной способности канала

Для IP-схемы доступа разделение пропускной способности канала между пользователями можно реализовать средствами Pipes брандмауэра IPFW ОС FreeBSD, а в случае прокси-сервера SQUID - использовать его механизм delay_pools.

Сервер определяет размер файла, запрошенного пользователем, и если этот размер не превышает установленной величины, то файл загружается на максимально возможной скорости. В случае более объемного файла он передается с заданной ограниченной скоростью. Данный механизм применяется не ко всем пользователям, а лишь к перечисленным в списках ACL (Access Control List - именованная группа объектов, к которым могут применяться различные ограничения), что позволяет очень гибко настраивать приоритеты работы различных групп пользователей.

В то же время, если в данный момент работает только один пользователь, к нему все равно будут применяться ограничения по скорости при загрузке больших файлов. IPFW, в отличие от delay_pools у SQUID, позволяет реализовать динамическое деление канала.

Доступ к ресурсам и другие ограничения

Для IP-схемы возможны ограничения только по IP-адресам серверов и по TCP/UDP-портам. Это вызывает неудобства, поскольку сегодня распространен механизм Virtual Hosts Web-сервера Apache на основе протокола HTTP v1.1, когда один Web-сервер с одним IP-адресом обслуживает множество сайтов с разными DNS-именами.

SQUID же, наоборот, предоставляет очень гибкие механизмы администрирования доступа пользователей к ресурсам Интернета с помощью списков ACL. Это может быть, например, доступ в определенное время, день недели, месяц; разрешение/запрет на копирование определенных типов файлов, разрешение/запрет на обращение к ресурсу, в имени которого содержится некоторое ключевое слово.

Настройка шлюза IPFW

В роли шлюза (gateway) используется компьютер с двумя сетевыми интерфейсами (один подключен к каналу Интернета и имеет реальный IP-адрес, а другой "смотрит" в корпоративную сеть и идентифицируется IP-адресом ее подсети), на котором установлена ОС FreeBSD (http://www.freebsd.org). FreeBSD проста в настройке, надежна, распространяется бесплатно и содержит практически все, что может понадобиться для сетевого сервера масштабов предприятия.

Процесс установки ОС FreeBSD, конфигурирование сетевых интерфейсов, запуск и конфигурирование IPFW, NATD, маршрутизации - в общем, все необходимое для настройки шлюза доступа в Интернет (и по IP, и с помощью прокси-сервера SQUID, кроме настройки самого SQUID) подробно описано в книге М. Эбена и Б. Таймэна "FreeBSD. Энциклопедия пользователя" (Киев: Diasoft, 2003).

Для обоих вариантов организации доступа в Интернет необходимо сконфигурировать ПО IPFW. IPFW фильтрует и подсчитывает IP-пакеты на всех сетевых интерфейсах. Программа также обрабатывает пакеты и на более высоких уровнях: UDP, TCP и ICMP. Кроме того, IPFW участвует в работе NATD. Автор рекомендует при настройке правил ipfw воспользоваться утилитой trafshow для контроля обращений в сеть и из сети по всем интерфейсам с указанием IP-адресов внешних машин, протоколов и портов в реальном времени. Команда

Trafshow -i fxp0 -n

задает отображение пакетов на fxp0-интерфейсе с номерами портов, а команда

Ipfw -a list

отображает правила ipfw, число пакетов и объем трафика (в байтах), прошедших с момента включения сервера или последнего обнуления счетчиков правил.

Внедрение и работа с SQUID

Кэширующий прокси-сервер SQUID (http://www.squid-cache.org) на платформе Unix - это распространяемое бесплатно ПО с открытым кодом. Он легко конфигурируется, хорошо документирован, широко распространен и просто интегрируется с ОС FreeBSD. SQUID позволяет организовать различные типы аутентификации при доступе к Интернету, разграничивает доступ по любому параметру (имени домена, ключевому слову в адресе, протоколу и т. д.) на основе списков ACL.

При использовании SQUID на шлюзе необходимо закрыть для локальных машин возможность обращаться к внешним адресам (и наоборот) и разрешить доступ из локальной сети только к порту прокси-сервера на его локальном интерфейсе. NAT и маршрутизацию на шлюзе, если они не нужны для SMTP или для других служб, также следует отключить.

После установки, конфигурирования, запуска SQUID и его системы авторизации администратору остается только добавление и удаление пользователей. Данные о пользователе достаточно создать лишь в SQUID, так как он не попадает в среду ОС прокси-сервера, и соответственно не надо создавать идентификационные данные пользователя ОС. После изменений в squid.conf или добавления/удаления пользователей SQUID должен перечитать свою конфигурацию без закрытия существующих пользовательских сессий командой

Squid -k reсonfigure.

Создавая пользователя SQUID при помощи ncsa_auth, необходимо прописать login и пароль пользователя в двух файлах конфигурации; в нашем примере это будет выглядеть так:

/usr/local/etc/squid_users /usr/local/etc/passwd

В первый файл просто добавляется имя (login) пользователя с новой строки с помощью текстового редактора. Во втором файле хранятся пароли пользователей (в MD5), и добавлять в этот файл учетную запись можно только с помощью утилиты htpasswd, которая поставляется с Web-сервером Apache.

Необходимо следить за содержанием кэша SQUID и периодически его очищать во избежание переполнения файловой системы - командой squid -Z.

В настройках клиентов в свойствах браузеров и клиентов ICQ необходимо указать IP-адрес прокси-сервера и порт. В нашем примере это IP:192.168.1.8 и порт 3128 (этот порт используется по умолчанию). Если программа ICQ настроена для работы через прокси-сервер, то она использует 443-й, а не 5190-й TCP-порт ICQ-серверов, что также надо учитывать при настройке межсетевых экранов. При использовании SQUID необходимо закрыть для локальных машин возможность обращаться к 80-му TCP-порту Интернет-серверов. Можно вообще разрешить доступ только к порту прокси-сервера, а ко всем остальным, за исключением почтовых, его закрыть, дабы "продвинутые" пользователи не ходили в Интернет в обход SQUID.

С тонкостями настройки SQUID можно познакомиться на сайте http://www.bog.pp.ru/work/squid.html .

Анализ трафика

Для этой цели используется бесплатная программа-анализатор с открытым кодом SARG (). Результат ее работы - HTML-страницы, которые отображают всевозможные статистические срезы данных о работе пользователей в Интернете. Анализируется весь период ведения журнала, поэтому удобнее делать необходимые срезы в конце месяца, а затем очищать журнал SQUID командой access.log.

Наиболее часто востребованы два типа срезов. Во-первых, распределение объемов информации, загруженной из Интернета, по пользователям, обычно отсортированное по убыванию объема (рис. 3). При этом выдается также количественная информация об эффективности кэширования. Данный срез позволяет проанализировать объем работы в Интернете в целом и проранжировать пользователей по активности их работы в Интернете.

Второй популярный срез - отображение загруженной конкретным пользователем информации по сайтам (рис. 4), также отсортированное по убыванию объемов данных. Данный срез позволяет провести "разбор полетов" пользователя в Интернете и выяснить, соответствуют ли наиболее часто запрашиваемые сайты служебным обязанностям сотрудника.

Выводы

Мы рассмотрели два варианта организации постоянного подключения корпоративной сети к Интернету.

Для варианта "по IP-адресам компьютеров пользователей с помощью правил IPFW" характерны следующие недостатки. Во-первых, невозможно проверить целесообразность работы пользователя в Интернете, поскольку IPFW подсчитывает только суммарный трафик, по каждому правилу, прописанному для конкретной машины, и не ведет учета посещаемых сайтов. Во-вторых, невозможно провести авторизацию пользователя, работающего в данный момент в Интернете. Это особенно важно, если машину "делят" между собой несколько пользователей. И наконец, существует возможность подмены пользователем IP-адреса.

Кроме того, в случае использования терминального сервера невозможно учитывать трафик различных пользователей, так как все они работают с одного IP-адреса терминального сервера.

Перечисленные недостатки просто отражают ограничения учета и администрирования трафика по IP-адресам и системы учета IPFW. IPFW и не предназначен непосредственно для замеров трафика пользовательских машин, это средство для учета канального трафика.

Полное и законченное решение проблемы предоставляет система, использующая шлюз с ОС FreeBSD, настроенный брандмауэр IPFW и установленный на нем прокси-сервер SQUID с включенной аутентификацией ncsa_auth. Использование кэширующего прокси-сервера в корпоративной сети позволяет сэкономить до 10% на оплате объема месячного трафика и многократно ускорить загрузку повторно посещаемых ресурсов.

Все ПО, применяемое в данном решении, - бесплатное. Расходы на его поддержку минимальны, а как показывает практика, система FreeBSD+SQUID достаточно надежна.

Система SQUID благодаря гибкости настройки и наличию интерфейсов для подключения внешних модулей хорошо масштабируется. Погрешность учета трафика по протоколу HTTP в сравнении с IP, присущая SQUID, не принципиальна; гораздо важнее, что при этом можно организовать достоверный количественный и качественный мониторинг работы пользователей в Интернете по протоколам HTTP, HTTPS и FTP и разграничить права и приоритеты доступа.

Прокси-сервер способен функционировать на достаточно маломощной машине, например, с процессором Celeron частотой 1 ГГц, 128 Мбайт памяти и жестким диском 20 Гбайт (такая конфигурация в данный момент работает на нашем предприятии, обслуживая 30 пользователей), а роль шлюза при доступе по IP (FreeBSD, IPFW, NATD) может выполнять компьютер на базе Pentium 166 МГц со 128 Мбайт памяти.

Помимо учета трафика ИКС дает возможность ограничить доступ к интернету, а также позволяет полностью контролировать скорость передачи данных. Это один из наиболее эффективных комплексов, позволяющих управлять доступом пользователей корпоративной сети в интернет.

Полный контроль для эффективного использования корпоративной сети

Ограничение интернета является одной из актуальных задач при формировании и обслуживании корпоративной сети. Не секрет, что зачастую сотрудники в офисах используют доступ в интернет совсем не для решения рабочих задач. В результате значительно снижается продуктивность работы, а значит, страдает эффективность бизнеса.

ИКС обладает широкими возможностями, в том числе делает возможным ограничение доступа, а также позволяет задавать ограничение интернет трафика по IP или по выбранным URL в сети. Все ограничения могут применяться для разных категорий и групп пользователей. За счет этого обеспечивается эффективное использование корпоративной сети, что улучшает производительность труда, а также снижается стоимость услуг провайдера.

Существует возможность легко обеспечить контроль скорости интернета в сети вашей компании за счет использования Proxy-server и Firewall. Это дает уверенность в том, что все работники используют Всемирную сеть только для решения рабочих задач. В результате значительно повышается эффективность работы офиса и растет прибыль.

Контроль использования интернета с помощью ИКС

Благодаря использованию ИКС обеспечивается удобный контроль доступа пользователей к интернету в корпоративной сети, который может быть реализован несколькими способами. Ограничить трафик интернета можно с помощью гибких настроек. В том числе предлагаются следующие функции:

• при нарушении блокировки выдается определенное сообщение или производится перенаправление пользователя на определенный сайт;
• существует возможность задать временное ограничение доступа в интернет;
• контроль трафика и посещенных ресурсов с использованием контентной фильтрации - блокируются доступ к ресурсам определенной категории.

Помимо этого, программа позволяет настраивать различные способы авторизации. Так ограничение и контроль доступа в интернет может осуществляться с использованием следующих способов:

• ввод логина и индивидуального пароля;
• получение доступа в интернет при входе под личной учетной записью («ActiveDirectory»);
• авторизация по определенному IP;
• использование специальной программы-агента.

Возможности по управлению пользователями

Существует возможность объединения пользователей локальной сети предприятия в группы в зависимости от любых признаков, например, от организационной структуры, служебных обязанностей и т.д. Это значительно повышает эффективность контроля доступа в локальных сетях. Каждой из таких групп можно назначать отдельного администратора. Контроль использования интернета может предусматривать блокировку или ограничение доступа отдельно для любой из существующих групп с возможностью задания подробного правила.

Также может предоставляться доступ в интернет для других предприятий с возможностью задания определенных ограничений. При этом для каждого из таких предприятий может создаваться отдельная группа с предоставлением пароля ее администратору. Это можно назвать передачей виртуального ИКС в пользование третьей стороне.

Работа с удаленными офисами

Приобретая ИКС, вы получаете в комплекте готовый VPN-сервер , который обеспечит связь с удаленными офисами компании с использованием шифрованного тоннеля с возможностью осуществления контроля скорости интернета для каждого из них. Связь обеспечивается так же эффективно, как если бы удаленные офисы были физически подключены к общей корпоративной сети компании.

Покупка ИКС

Купить ИКС можно при помощи формы заказа на нашем сайте.

Нашей компанией осуществляется активная техническая поддержка клиентов по всем вопросам, связанным с использованием программы. Приобретая дополнительно Лицензию на обновления (Премиум) , Вы вручаете все заботы по установке, настройке и сопровождению ИКС в руки наших специалистов - идеальный вариант для тех, кто хочет купить и забыть, получая при этом максимальные выгоды от использования ИКС. За любыми консультациями обращайтесь в отдел продаж .

Школьный портал поддерживает управление доступом в интернет.

Управление осуществляется через интеграцию с прокси-сервером Squid.

Для изменения прав доступа перейдите в меню: Сервис → Доступ в интернет... .

Данное действие доступно только представителям администрации школы.

Чтобы дать доступ в интернет, достаточно поставить галочку у имени пользователя (ученика, учителя), или целого класса. Чтобы отменить доступ, нужно снять галочку. Изменения применяются после нажатия кнопки "Сохранить".

Чтобы машина в локальной сети обращалась в интернет, руководствуясь допуском, настроенным в Портале, нужно настроить её использовать прокси-сервер.

Адрес прокси-сервера - это адрес вашего школьного сервера в локальной сети, куда установлен Школьный портал. Порт прокси-сервера - 3128 .

При обращении пользователя в интернет через прокси-сервер будет затребован логин и пароль от Школьного портала.

Чтобы надёжно предотвратить доступ в интернет в обход прокси-сервера, стоит проверить, что школьный сервер не предоставляет маршрутизацию в интернет интересующим машинам, а также что машины не имеют доступ через коммутатор, модем, роутер, Wi-Fi и прочее оборудование образовательного учреждения, к которому сотрудники и учащиеся имеют сетевой доступ.

Системы контентной фильтрации (СКФ)

Поддерживается как отсутствие СКФ, так и интеграция со множеством провайдеров.

Настройка СКФ находится в левой колонке страницы управления доступом в интернет.

Некоторые СКФ требует регистрации для управления списками запрещённых ресурсов (например, социальные сети, непристойные материалы, коллекции рефератов и т.д.). Изменение таких настроек производится в веб-интерфейсах на сайте самой СКФ, а не в Портале. Поддержку пользователей по вопросам качестваа фильтрации осуществляет организация, обслуживающая СКФ. В Портале выполняется лишь включение и отключение направления запросов к DNS-серверам СКФ с прокси-сервера школы и не более того.

СКФ аналогично допуску в интернет применяется лишь к машинам, которые настроены строго через школьный прокси-сервер.

Важно! Работу СКФ после включения необходимо проверять согласно вашим ожиданиям, так как Портал автоматически не может проверить это за вас. Условия предоставления СКФ могут измениться их производителями в любой момент. Стоит быть подписанными на новости сервиса, которым вы пользуетесь.

Что делать, если Портал выводит надпись "Функция отключена" или что-то не работает.

Проверки и действия в данной части статьи приведены только для Ubuntu Server 10.04 LTS:

Все действия необходимо выполнять от пользователя root.

1. Установлен ли squid?

Dpkg -s squid3 | grep -i version

Если нет, установите:

Apt-get install squid3

2. Есть ли эти параметры в файле конфигурации Портала?

Auth = basic htpasswd = /var/www/sp_htpasswd sp_users_allowed = /var/www/sp_users_allowed

Если нет, добавьте и выполните

Pkill speedy

3. Squid запущен? Слушает порт 3128?

Проверка:

Netstat -ntlp | grep 3128

В ответ должно быть примерно следующее (1234 для примера, у вас может быть другой номер процесса):

Tcp 0 0 0.0.0.0:3128 0.0.0.0:* LISTEN 1234/(squid)

Как запустить Squid:

/etc/init.d/squid3 start

* Starting Squid HTTP Proxy 3.0 squid3

4. Поставьте Squid в автозапуск:

Update-rc.d squid3 enable

5. Создайте, если нет, и задайте права доступа к служебным файлам, отвечающим за управление со стороны Портала:

Touch /var/www/sp_htpasswd /var/www/sp_users_allowed chown www-data.proxy /var/www/sp_htpasswd /var/www/sp_users_allowed chmod 660 /var/www/sp_htpasswd /var/www/sp_users_allowed

6. Файл конфигурации Squid-а «из коробки» не готов к интеграции, его нужно подправить.

Сначала убедитесь, что в нем НЕТ интеграции с порталом (многократное исправление недопустимо):

Grep "School Portal Internet Control" /etc/squid3/squid.conf

Если строка от выполнения команды выше выводится, значит этот шаг следует пропустить.

Однако, если файл конфигурации был изменён таким образом, что строка есть, а интеграция не заработает, возьмите исходный файл конфигурации от Squid и выполните этот шаг над ним.

Итак, если строки НЕТ:

6.1. Удаление правил, препятствующих интеграции и изменение страниц ошибок на русские версии:

Perl -i-original -p -e "s!^http_access deny all$!#http_access deny all!; s!^# error_directory /usr/share/squid3/errors/templates$!error_directory /usr/share/squid-langpack/ru!;" /etc/squid3/squid.conf

6.2. Внесение фрагмента интеграции:

Echo " # ============================== # School Portal Internet Control # To disable replace /etc/squid3/squid.conf with /etc/squid3/squid.conf-original # ============================== auth_param basic program /usr/lib/squid3/ncsa_auth /var/www/sp_htpasswd auth_param basic children 5 auth_param basic realm Squid proxy-caching web server auth_param basic credentialsttl 2 hours auth_param basic casesensitive on acl sp_users_allowed proxy_auth "/var/www/sp_users_allowed" http_access allow sp_users_allowed http_access deny all " >> /etc/squid3/squid.conf

Если такой блок в файле squid.conf присутствует более одного раза, удалите повторы, даже если всё работает. С повтором Squid при каждом обновлении списка допуска из портала будет сыпать в свой журнал предупреждения о переопределении правил.

6.3. После внесения изменений, Squid нужно перезапустить.

/etc/init.d/squid3 restart

7. Далее воспользуйтесь веб-интерфейсом Школьного портала для раздачи доступа в интернет. Вы должны наблюдать изменение списка разрешённых логинов пользователей портала в файле /var/www/sp_users_allowed после нажатия кнопки "Применить" в веб-интерфейсе портала.

Журналы доступа к Squid (/var/log/squid3) будут содержать логины пользователей портала. Можно использовать любые анализаторы логов, совместимые с форматом логов Squid. Интеграция с Порталом не нарушает формат журналов по умолчанию, отличие в наличии логинов из портала на месте, где стоял бы прочерк при отсутствии авторизации пользователей.

8. Проверьте, не блокирует ли соединения фаерволл на школьном сервере и на клиентских машинах. По умолчанию на чистом в Ubuntu Server фаерволл разрешает все соединения, если вы вмешивались в его конфигурацию какими-либо средствами, обеспечьте разрешение соединений из локальной сети школы к порту 3128 сервера и исходящие соединения с сервера.

Павлов Сергей Системный инженер компании Softmart

В данной статье представлены наиболее популярные способы подключения офиса небольшой организации к сети Интернет. В статье не затрагиваются вопросы выбора провайдера и вопросы выбора конечного оборудования для подключения к сети. Мы исходим из того, что провайдер предоставляет организации следующее:

1. Сетевой интерфейс Ethernet RJ45 - стандарт для сетевого оборудования в локальных сетях
2. IP адрес - один или несколько, постоянный или динамический
3. IP адрес шлюза и DNS

Приведем также небольшой портрет организации, на которую рассчитана эта статья:

1. Количество компьютеров в сети - до 30;
2. В сети есть один файловый сервер или сервер корпоративной системы управления;
3. Web сервер и почтовый сервер организации размещен у провайдера, а не в локальной сети предприятия;
4. Интернет канал будет использоваться сотрудниками преимущественно для работы с электронной почтой и просмотра Web-страниц;
5. Компьютеры и серверы организации должны быть защищены от несанкционированного доступа по каналу сети Интернет;

Из возможных, но редко встречающихся условий можно также упомянуть:

1. Безопасное подключение сотрудников к сети организации удаленно - из дома или другого офиса;
2. Безопасное соединение небольших офисов разнесенных территориально;
3. Размещений Web-сервера, почтового сервера, сервера какой-либо внутренней системы управления внутри сети организации с предоставлением свободного доступа к ним сотрудников или клиентов по сети Интернет;

При таком подходе для организации доступа в сеть Интернет выделяется персональный компьютер или сервер. Сервер или ПК оснащается дополнительной сетевой картой. Одна из них подключается к сети провайдера, другая - к сетевому коммутатору организации.
На шлюзе целесообразно запустить службу NAT - сетевой трансляции IP адресов.

Достоинства такого решения:

1. Возможность использования широчайшего списка программного обеспечения для решения разнообразных задач, например:
для защиты сервера и сети от атак из Интернет;
для антивирусной защиты сервера, трафика или электронной почты;
для защиты от спама;
для подсчета трафика;
для управления доступом в сеть Интернет сотрудниками организации;
2. Достаточно одного IP адреса от провайдера.
3. Обеспечивается достаточный уровень защиты локальной сети от внешних воздействий за счет использования службы NAT.
4. Небольшая стоимость сетевого экрана, поскольку допускаются решения для персональных компьютеров.
5. Из сети Интернете виден только компьютер шлюза, и хакеры могут атаковать лишь этот компьютер. Локальная сеть, включая сервера и рабочие станции, им не доступна в принципе. Таким образом, при выходе из строя шлюза локальная сеть организации продолжает функционировать.

Недостатки

1. Если компьютер-шлюз также используется как обычная рабочая станция одного из сотрудников, например, исходя из экономии средств, то возможны серьезные проблемы с безопасностью. Пользователь, работающий на шлюзе, может своими действиями ослабить защиту сервера. Кроме того, возможны проблемы с производительностью шлюза, поскольку часть мощности компьютера будет отнимать пользователь;
2. Крайне не рекомендуется, использовать шлюз как файловый сервер организации по причине доступности сервера из сети Интернет. Требуется мощный сетевой экран (не персональный) и работа очень квалифицированного специалиста по настройке безопасности на шлюзе. Теме не менее это очень часто встречающаяся конфигурация в небольших организациях;
3. Требуется приобретать дополнительное программное обеспечение. Служба NAT не входит в состав операционных систем Windows, кроме Microsoft Windows XP (NAT реализован, но с некоторыми ограничениями). Стоимость сетевых экранов варьируется от десятков долларов до нескольких тысяч. Как минимум требуется специальная программа для обеспечения доступа в сеть Интернет всех пользователей локальной сети. (программа называется прокси-сервер).
4. Требуется дополнительное устройство - сетевая карта.

Примерная стоимость реализации данного решения:

При таком подходе для организации доступа в сеть Интернет требуется получение дополнительного количества IP адресов от провайдера для каждого персонального компьютера в локальной сети организации. Такое решение, вероятно, обеспечивает наиболее быстрое подключение сотрудников организации к сети Интернет. Однако данное решение редко применяется при числе компьютеров в компании более двух по двум причинам:
1. Провайдер крайне неохотно выделяет IP адреса, и сам Вам порекомендует перейти на любую другую схему подключения компьютеров в сеть Интернет.
2. Данное решение потенциально наименее безопасно с точки зрения защиты Ваших данных от несанкционированного доступа и атак из сети.

Достоинства:

1. простая настройка компьютеров.
2. не надо покупать дополнительный компьютер - шлюз.
3. не надо покупать дополнительное программное обеспечение - прокси-сервер.

Недостатки:

1. На каждом компьютере требуется установить всестороннюю систему защиты.
2. Зависит от возможности провайдера предоставить несколько IP адресов
3. Нет статистики по использованию канала

Стоимость релизации данного решения:

Для каждого компьютера в сети:

Организация доступа с помощью устройств D-LINK

Компания D-Link предлагает широкий спектр устройств для безопасного подключения небольших организаций к сети Интернет. Все решения можно условно разделить на два больших класса:
1. Маршрутизаторы серии DI
2. Файрволы серии DFL

Устройства семейства DI были специально спроектированы для целей и задач небольших офисов. Они обладают всей необходимой функциональностью за более чем приемлемую цену. В зависимости от модели устройства могут оснащаться:
сетевым экраном,
точкой доступа Wi-Fi,
встроенным прокси-сервером,
сетевым портом подключения принтера,
встроенным ADSL модемом
VPN модулем

Все устройства поддерживают:
1. DHCP (функция динамического назначения IP адресов компьютерам в сети)
2. NAT (функция динамической трансляции IP адресов из внутренний сети в IP адреса сети Интернет)
3. Функцию виртуального сервера, необходимую для организации доступа к локальному серверу из сети Интернет
4. Функцию Защищенной зоны, необходимую для организации доступа к нескольким локальным ресурсам из сети Интернет

Достоинства

3. Низкая цена для своего класса.
4. Защита от атак с помощью NAT, + возможность вводить правила запрещения доменов, адресов и т.д..


7. Возможность создании защищенных соединений в Интернете (VPN) , для связи с другими офисами.
8. Возможность организации доступа к внутренним ресурсам локальной сети.
9. Возможность поддержки мобильных пользователей.(Wi-Fi).
10. Возможность подключения сетевого принтера.

Недостатки:

2. Есть аппаратные ограничения на количество одновременно работающих сотрудников. До 2000 одновременных соединений устройство DI выдержит без заметных отклонений по производительности.
3. Аппаратура чувствительна к атакам изнутри, например, сетевых вирусов. При таких атаках, нагрузка на устройство резко возрастает.
4. Само устройство слабо защищено от типовых сетевых атак. При этом данные организации и компьютеры, как правило, не страдают.
5. Статистика по использованию канала сотрудниками недостаточно детальная.

Примерная стоимость решения

Устройства семейства DFL - это уже высокопроизводительные сетевые экраны, оснащенные всеми мыслимыми и новомодными решениями по защите локальной сети и ресурсов организации от вторжения. В зависимости от конкретной модели устройство может быть, например, оснащено:
системой обнаружения вторжений IDS
системами обнаружения типовых атак и их отражения
системой управления полосой пропускания
системой балансировки нагрузки
VPN

Нужно подбирать модель, исходя из количества компьютеров в сети и требований по безопасности. Лучше всего обратиться за помощью к консультанту по решениям D-Link.

Достоинства:

1. Аппаратные решения очень надежны, компактны и неприхотливы.
2. Устройства хорошо защищены сами от атак из Сети и хорошо защищают периметр локальной сети организации.
3. Защита от сетевых атак, включая: SYN, ICMP, UDP Flood, WinNuke, сканирование портов, спуфинг, подмену адресов, отказ в обслуживании и др.
4. Один раз настроенная система, в дальнейшем не нуждается в настойке.
5. Нет выделенного компьютера - шлюза.
6. Простая установка и настройка.
7. Низкая цена для своего класса.
8. Возможность создания защищенных соединений в Интернете (VPN) , для связи с другими офисами.
9. Возможность организации доступа к внутренним ресурсам локальной сети.

Недостатки:

1. Настройку должен проводить квалифицированный специалист.
2. Статистика по использованию канала сотрудниками недостаточно детальная.

Примерная стоимость решения

Заключение

При всем богатстве выбора нам кажется, что наиболее оптимальным решением для небольшой организации является все-таки решение на основе одной из моделей устройств D-Link семейства DI. Устройства просты, компактны, доступны по цене и достаточно функциональны. Единственно в чем решения DI можно упрекнуть - это отсутствие некоторых возможностей прокси-серверов, например, статистики по объему закаченной информации по сотрудникам. Ведь именно эти данные, как правило, используются провайдерами для выставления счета за использование канала. Если эта функция жизненно необходима для Вашей организации, то стоит дополнительно рассмотреть приобретение прокси-сервера, например, UserGate от компании eSafeLine. Только не забывайте, что прокси-сервер потребует приобретение дополнительного компьютера.