Перед обговоренням автентифікації користувачів мережі необхідно розробити правила керування доступом до мережі. Мережі вже є монолітними об'єктами. У більшості випадків є одна зовнішня точкадоступу - підключення до Internet за допомогою ISP ( Internet Service Provider- Постачальник послуг Internet). Правила керування доступом до мережі визначатимуть, який захист необхідно встановити на вхідних точках у мережу.
Шлюзи
Шлюзиє пунктами, в яких мережевий трафікпередається з мережі організації в іншу мережу. Щодо шлюзових пунктів правила керування доступом повинні враховувати природу мережі, в якій встановлюється міст.
- Правила керування доступом для вхідних та вихідних телефонних дзвінків (Dial-in та Dial-out). Охоплюють вимоги щодо аутентифікації. Приховати точку телефонного доступу до мережі досить складно. Тому важливо визначити засоби керування цим доступом. Існує безліч міркувань щодо правил доступу, таких як створення модемів виключно для обробки вихідних сигналів ( out-bound-only) для доступу dial-out. Необхідно написати пункт правил, який наказуватиме застосування відповідних засобів управління.
Весь телефонний доступу мережу має бути захищений за допомогою засобів суворого контролю аутентифікації. Модеми необхідно налаштувати для одного з доступів dial-in або dial-out, але в жодному разі не для обох. Адміністратор мережі має забезпечити процедури гарантованого доступу до модемних систем. Користувачі не повинні встановлювати модеми в інших точках мережі відповідних санкцій.
- Інші зовнішні підключення. Можливі різні підключеннядо мережі ззовні організації. Правилами можна обумовити прямий доступ клієнтів до мережі через віртуальну приватну мережу VPN(Virtual Private Network) та через розширення мережі організації, відомі як екстрамережі.
- Підключення до Інтернету. Відрізняється від інших підключень, оскільки люди хочуть мати відкритий доступв Internet, тоді як дозвіл доступу забезпечується службами організації. Правила, що регламентують ці підключення, обговорюються у розділі 6 "Правила безпеки Internet".
Як і будь-яких правил, слід очікувати, що з'являтимуться запити зміну правил управління доступом. Незалежно від причин, які потребують коригування правил, слід передбачити можливість внесення винятків до правил за допомогою механізму перегляду правил. Якщо згідно з приписами політики було створено Комітет управління безпекою (див. розділ 3 "Обов'язки в галузі" інформаційної безпеки"), то можна вимагати, щоб комітет переглядав правила".
Будь-який шлюз, який пропонується для встановлення в мережі компанії, якщо він може порушити правила або процедури, передбачені цими правилами, не повинен встановлюватися без попереднього затвердження комітетом управління безпекою.
Віртуальні приватні мережі та екстрамережі
Збільшення кількості мереж в організації змушує шукати нові варіанти підключення віддалених офісів, клієнтів та спрощення доступу обслуговуючих контрагентів або потенційних контрагентів. Це зростання породило два типи зовнішніх з'єднань: віртуальні приватні мережі ( VPN- Virtual Private Network) та екстрамережі. VPN є недорогий спосіб встановити інформаційний зв'язокміж двома та більше підрозділами організації, розташованими на різних територіях. Організації створюють VPN шляхом підключення всіх підрозділів до Internet і установки пристроїв, які здійснюватимуть шифрування та дешифрування інформації в обох підрозділах, що зв'язуються між собою. Для користувачів робота через VPN буде виглядати так, ніби обидва підрозділи знаходяться на одній території та працюють в єдиній мережі.
Перевірка повноважень допоміжних систем
Перед тим, як продовжити, важливо згадати, що кожен зі шлюзів або кожна допоміжна система є точкою входу в мережу організації. У будь-якій точці входу повинні якимось способом перевірятися повноваження потоку даних, що входять та виходять із мережі. Одне з питань, яке необхідно розглянути, полягає у вимогі санкціонування зовнішніх підключеньдо допоміжних систем мережі. Це може виявитися проблемою для допоміжних систем, які постійно підключені до мережі. Для таких допоміжних систем необхідно визначити, яким чином здійснюватиметься санкціонування їхньої присутності в мережі. Насправді навіть тимчасові підключеннядо мережі, такі як підключення вхідних модемів, можуть мати суворі вимоги щодо автентифікації.
У цьому розділі правила вимоги щодо автентифікації не повинні описуватись - вони обговорюються в наступному розділі "Безпека реєстрації". Тут можна лише відзначити необхідність вимог до аутентифікації. Правила щодо стандартів автентифікації будуть розглянуті в наступному розділі. Однак, для забезпечення гарантій того, що для допоміжних систем буде вирішено питання автентифікації, до пункту правил для підключення до мережі можна додати наступне.
Програми, необхідні для роботи шлюзів, повинні бути піддані аутентифікації в мережі. Якщо сама програма не може бути аутентифікована, то правила аутентифікації, описані в даному документіповинні поширюватися на допоміжні системи, підключені через шлюзи.
Павлов Сергій Системний інженер компанії Softmart
У цій статті представлені найбільш популярні способипідключення офісу невеликої організації до Інтернету. У статті не зачіпаються питання вибору провайдера та вибору кінцевого обладнання для підключення до мережі. Ми виходимо з того, що провайдер надає організації таке:
1. Мережевий інтерфейс Ethernet RJ45 - стандарт для мережевого обладнанняу локальних мережах
2. IP адреса - одна або кілька, постійна або динамічна
3. IP адреса шлюзу та DNS
Наведемо також невеликий портрет організації, яку розрахована ця стаття:
1. Кількість комп'ютерів у мережі – до 30;
2. У мережі є один файловий серверабо сервер корпоративної системиуправління;
3. Web сервері поштовий сервер організації розміщений у провайдера, а не в локальної мережіпідприємства;
4. Інтернет канал використовуватиметься співробітниками переважно для роботи з електронною поштою та перегляду Web-сторінок;
5. Комп'ютери та сервери організації повинні бути захищені від несанкціонованого доступу через Інтернет;
З можливих умов, що рідко зустрічаються, можна також згадати:
1. Безпечне підключення співробітників до мережі організації віддалено – з дому чи іншого офісу;
2. Безпечне з'єднання невеликих офісіврознесених територіально;
3. Розміщень Web-сервера, поштового сервера, сервера будь-якої внутрішньої системиуправління всередині мережі організації з наданням вільного доступу до них співробітників або клієнтів через Інтернет;
При такому підході для організації доступу в Інтернет виділяється персональний комп'ютер або сервер. Сервер чи ПК оснащується додатковою мережевою картою. Одна з них підключається до мережі провайдера, інша - до мережі мережному комутаторуорганізації.
На шлюзі доцільно запустити службу NAT – мережевої трансляції IP адрес.
Переваги такого рішення:
1. Можливість використання найширшого списку програмного забезпечення для вирішення різноманітних завдань, наприклад:
для захисту сервера та мережі від атак з Інтернету;
для антивірусного захистусервера, трафіку або електронної пошти;
для захисту від спаму;
для підрахунку трафіку;
для управління доступом до мережі Інтернет співробітниками організації;
2. Достатньо однієї IP адреси від провайдера.
3. Забезпечується достатній рівень захисту локальної мережі від зовнішніх дій за рахунок використання служби NAT.
4. Невелика вартістьмережного екрану, оскільки допускаються рішення для персональних комп'ютерів.
5. З Інтернету видно лише комп'ютер шлюзу, і хакери можуть атакувати лише цей комп'ютер. Локальна мережа, включаючи сервери та робочі станції, їм не доступна в принципі. Таким чином, при виході з ладу шлюзу локальна мережа організації продовжує працювати.
Недоліки
1. Якщо комп'ютер-шлюз також використовується як звичайна робоча станціяодного зі співробітників, наприклад, виходячи з економії коштів, то можливі серйозні проблемиз безпекою. Користувач, що працює на шлюзі, може послабити захист сервера. Крім того, можливі проблеми з продуктивністю шлюзу, оскільки частина потужності комп'ютера буде забирати користувач;
2. Вкрай не рекомендується використовувати шлюз як файловий сервер організації через доступність сервера з мережі Інтернет. Потрібний потужний мережевий екран (не персональний) та робота дуже кваліфікованого спеціаліста з налаштування безпеки на шлюзі. Проте це дуже часто зустрічається конфігурація в невеликих організаціях;
3. Потрібно купувати додаткове програмне забезпечення. Служба NAT не входить до складу операційних систем Windowsкрім Microsoft Windows XP (NAT реалізований, але з деякими обмеженнями). Вартість мережевих екранів варіюється від десятків доларів до кількох тисяч. Як мінімум потрібно спеціальна програмадля доступу до Інтернету всіх користувачів локальної мережі. (Програма називається проксі-сервер).
4. Потрібно додатковий пристрій- мережева карта.
Орієнтовна вартість реалізації цього рішення:
|
Персональний комп'ютер - шлюз |
$40 0 |
|
|
Проксі-сервер |
UserGate 3.0 (10 сесій) |
$ 129 |
|
Мережевий екран (firewall) |
Kaspersky AntiHacker |
$39 |
|
Додаткова мережна картка |
D-Link DFE-530 TX |
$10 |
|
Послуги з налаштування |
Softmart |
$70 |
|
Разом |
$648 |
При такому підході для організації доступу до Інтернету потрібне отримання додаткової кількості IP адрес від провайдера для кожного персонального комп'ютерау локальній мережі організації. Таке рішення, ймовірно, забезпечує найбільше швидке підключенняспівробітників організації до Інтернету. Однак це рішення рідко застосовується при числі комп'ютерів у компанії більше двох з двох причин:
1. Провайдер вкрай неохоче виділяє IP-адреси, і сам Вам порекомендує перейти на будь-яку іншу схему підключення комп'ютерів до мережі Інтернет.
2. Це рішенняпотенційно найменш безпечно з погляду захисту Ваших даних від несанкціонованого доступу та атак з мережі.
Переваги:
1. просте налаштуваннякомп'ютерів.
2. не треба купувати додатковий комп'ютер- Шлюз.
3. не треба купувати додаткове програмне забезпечення – проксі-сервер.
Недоліки:
1. На кожному комп'ютері потрібно встановити всебічний захист.
2. Залежить від можливості провайдера надати кілька IP-адрес
3. Немає статистики щодо використання каналу
Вартість реалізації цього рішення:
Для кожного комп'ютера в мережі:
|
Мережевий екран (firewall) |
Kaspersky AntiHacker |
$39 |
|
Налаштування |
Softmart |
$10 |
|
Разом |
$49 |
Організація доступу за допомогою пристроїв D-LINK
Компанія D-Link пропонує широкий спектр пристроїв для безпечного підключення невеликих організаційдо Інтернету. Всі рішення можна умовно розділити на два великі класи:
1. Маршрутизатор серії DI
2. Файрволи серії DFL
Пристрої сімейства DI були спеціально спроектовані для цілей та завдань невеликих офісів. Вони мають всю необхідну функціональність за більш ніж прийнятну ціну. Залежно від моделі пристрою можуть оснащуватися:
мережевим екраном,
точкою доступу Wi-Fi,
вбудованим проксі-сервером,
мережевим портомпідключення принтера,
вбудованим ADSL модемом
VPN модулем
Усі пристрої підтримують:
1. DHCP (функція динамічного призначення IP адрес комп'ютерам у мережі)
2. NAT (функція динамічної трансляції IP адрес з внутрішній мережів IP адреси мережі Інтернет)
3. Функцію віртуального сервера, необхідну для організації доступу до локальному серверуз мережі Інтернет
4. Функцію Захищеної зони, необхідну для організації доступу до кількох локальним ресурсамз мережі Інтернет
Переваги
3. Низька цінадля свого класу
4. Захист від атак за допомогою NAT, + можливість вводити правила заборони доменів, адрес і т.д.
7. Можливість створення захищених з'єднань в Інтернеті (VPN) для зв'язку з іншими офісами.
8. Можливість організації доступу до внутрішніх ресурсів локальної мережі.
9. Можливість підтримки мобільних користувачів. (Wi-Fi).
10. Можливість підключення принтера.
Недоліки:
2. Є апаратні обмеження на кількість співробітників, що одночасно працюють. До 2000 одночасних з'єднаньпристрій DI витримає без помітних відхилень щодо продуктивності.
3. Апаратура чутлива до атак зсередини, наприклад, мережевих вірусів. При таких атаках навантаження на пристрій різко зростає.
4. Сам пристрій слабо захищений від типових мережевих атак. При цьому дані організації та комп'ютери, як правило, не страждають.
5. Статистика використання каналу співробітниками недостатньо детальна.
Орієнтовна вартість рішення
|
D-Link DI-604 |
D-Link |
|
|
Налаштування |
Softmart |
|
|
Разом |
Пристрої сімейства DFL – це вже високопродуктивні мережеві екрани, оснащені всіма можливими та новомодними рішеннями щодо захисту локальної мережі та ресурсів організації від вторгнення. Залежно від конкретної моделіпристрій може бути, наприклад, оснащений:
системою виявлення вторгнень IDS
системами виявлення типових атакта їх відображення
системою керування смугою пропускання
системою балансування навантаження
VPN
Потрібно підбирати модель, виходячи з кількості комп'ютерів у мережі та вимог безпеки. Найкраще звернутися за допомогою до консультанта з рішень D-Link.
Переваги:
1. Апаратні рішення дуже надійні, компактні та невибагливі.
2. Пристрої добре захищені самі від атак із Мережі та добре захищають периметр локальної мережі організації.
3. Захист від мережевих атак, включаючи: SYN, ICMP, UDP Flood, WinNuke, сканування портів, спуфінг, заміну адрес, відмову в обслуговуванні та ін.
4. Один раз налаштована система, надалі не потребує настоянки.
5. Немає виділеного комп'ютера – шлюзу.
6. Проста установката налаштування.
7. Низька ціна свого класу.
8. Можливість створення захищених з'єднань в Інтернеті (VPN) для зв'язку з іншими офісами.
9. Можливість організації доступу до внутрішніх ресурсів локальної мережі.
Недоліки:
1. Налаштування має проводити кваліфікований спеціаліст.
2. Статистика використання каналу співробітниками недостатньо детальна.
Орієнтовна вартість рішення
D-Link DFL-100 D-Link $200
Налаштування Softmart Разом $230
Висновок
При всьому багатстві вибору нам здається, що найбільше оптимальним рішеннямдля невеликої організації є все-таки рішення на основі однієї з моделей пристроїв D-Linkсімейства DI. Пристрої прості, компактні, доступні за ціною та досить функціональні. Єдине чому рішення DI можна дорікнути - це відсутність деяких можливостей проксі-серверів, наприклад, статистики за обсягом закачаної інформації по співробітникам. Адже саме ці дані зазвичай використовуються провайдерами для виставлення рахунку за використання каналу. Якщо ця функція життєво необхідна для Вашої організації, варто додатково розглянути придбання проксі-сервера, наприклад, UserGate від компанії eSafeLine. Тільки не забувайте, що проксі-сервер вимагатиме придбання додаткового комп'ютера.
Адміністратор розподіляє Інтернет-ресурси для співробітників компанії, створюючи списки заборонених або дозволених доменних імен, IP-адрес тощо. При цьому він може ставити обмеження за часом або кількістю трафіку. У разі перевитрати доступ до Інтернету автоматично закривається.
Увага: Адміністратор завжди може надати посібнику звіт про використання мережі кожним із співробітників.
- Гнучка система правил для керування доступом до Інтернету:
- обмеження за часом роботи, за кількістю відправленого/прийнятого трафіку (облік трафіку) за день та/або тиждень та/або місяць, за кількістю використовуваного часу за день та/або тиждень та/або місяць;
- фільтри, які контролюють доступ користувачів до небажаних ресурсів (сайти сексуальної, ігрової спрямованості);
- розвинена система обмежень трафікуі швидкості доступудля кожного користувача. У разі перевитрати трафіку доступ до Інтернету автоматично закривається;
- списки заборонених або дозволених доменних імен, IP-адрес, частин рядки URL, доступ на які забороняється/дозволяється адміністратором;
- можливість задавати діапазон дозволених та заборонених IP адрес;
- погодинний розклад роботи користувача в Інтернеті;
- фільтри, що дозволяють налаштувати високоефективне «банерорізання».
- Підрахунок та перегляд статистикироботи користувачів за різними параметрами (днями, сайтами) за довільний інтервал часу. Перегляд Інтернет - статистика роботи користувачів у поточному місяці через HTTP, можливий тільки для користувачів, що знаходяться в локальній мережі.
- Вбудована білінгова система автоматично здійснює розрахунок вартості роботи користувача в мережі Інтернет виходячи з ціни, часу та/або обсягу трафіку. Ви можете встановлювати тарифи для кожного користувача окремо або групи користувачів. Існує можливість перемикання тарифів в залежності від часу доби, дня тижня, адреси сайту.
Інформаційна безпека офісу
- Підтримка VPN Virtual Private Network - це об'єднання окремих машин чи локальних мереж у мережі, безпека яких забезпечується механізмом шифрації даних та автентифікації користувачів.
- Вбудований міжмережевий екран(Firewall)запобігає несанкціонованому доступу до даних сервера та локальної мережі, забороняючи з'єднання за певними портами та протоколами. Функціональність брандмауера контролює доступ до необхідних портів, наприклад для публікації веб-сервера компанії в мережі Інтернет.
- Антивірус Касперського та Panda, інтегровані в проксі-сервер UserGate, виконують роль фільтрів: перехоплюючи дані, що передаються по протоколів HTTPта FTP. Підтримка поштових протоколів POP3 та SMTP реалізована на верхньому рівні. Це дозволяє використовувати вбудований антивірус для перевірки поштового трафіку. Якщо лист містить вкладений файл із вірусом, проксі - сервер UserGateвидалити вкладення та повідомить про це користувачеві, змінивши текст листа. Всі заражені або підозрілі файлиз листів поміщаються в спеціальну папкуу директорії UserGate.
Адміністратор UserGateможе сам вибирати, використовувати один антивірусний модуль або одночасно. В останньому випадку можна вказати черговість перевірки кожного типу трафіку. Наприклад, HTTP-трафік спочатку перевірятиметься антивірусом від «Лабораторії Касперського», а потім модулем від Panda Software - Підтримка поштових протоколів
POP3 - і SMTP - проксі в UserGateможуть працювати з драйвером NAT, і без нього. При роботі без драйвера обліковий запис поштовому клієнтуна стороні користувача налаштовується особливим чином. Під час використання драйвера (робота проксі в прозорому режимі), налаштування пошти на стороні користувача виконується також як при прямому доступі до Інтернету. Надалі підтримка POP3 та SMTP протоколівна верхньому рівні буде використано для створення модуля антиспам.
Адміністрація за допомогою проксі-сервера UserGate
- Мережеві правила
У проксі - сервері UserGateреалізовано підтримку технології NAT (Network Address Translation, Трансляція мережевої адреси) та Port mapping (призначення портів). Технологія NAT використовується для створення прозорих проксі та підтримує протоколи, відмінні від HTTP або FTP.
Прозорий проксі дозволяє користувачам працювати без спеціальних налаштувань, а адміністратори звільняються від необхідності вручну налаштовувати браузери користувачів. - Додатковий модуль Usergate Cache Explorerпризначений для перегляду вмісту пам'яті Cache. Працювати з цією функцією просто: достатньо лише при запуску вказати розташування файлу ug_cache.lst з папки cache. Після прочитання вмісту цього файлу Usergate Cache Explorerпокаже список кешованих ресурсів На панелі керування Cache Explorer розташовано кілька кнопок, які дозволяють відфільтрувати вміст Cache за розміром, розширенням тощо. Відфільтровані дані можна зберегти в папку на жорсткому диску для подальшого уважного вивчення.
- Функція призначення портів(Port mapping) дозволяє прив'язати будь-який обраний порт одного з локальних IP-інтерфейсів до потрібному порту віддаленого хоста. Призначення портів використовується для роботи додатків «банк-клієнт», ігор та інших програм, роботи яких необхідна переадресація пакетів на певний IP - адресу. Якщо необхідний доступ з Інтернету до певного мережному ресурсуЦе також можна забезпечити за допомогою функції призначення портів.
- Управління трафіком: контроль та облік трафіку вашої мережі
Функція “Управління трафіком” призначена для створення правил, що контролюють доступ користувачів локальної мережі до мережі Інтернет, для створення та зміни тарифів, що використовуються UserGate.
Увага: Драйвер NAT, вбудований у проксі - сервер UserGateзабезпечує максимально точний облік Інтернет - трафіку.
У проксі - сервері UserGateіснує можливість поділу різних видівтрафіків, наприклад, місцевого та зарубіжного Інтернет - трафіків. А також здійснюється моніторинг трафіку, IP-адрес активних користувачів, їх логіни, відвідані URL - адреси в режимі реального часу. - Віддалене адмініструваннядозволяє системному адміністратору бути мобільним, тому що тепер стало можливим адмініструвати проксі-сервер UserGateвіддалено.
- Автоматичне та ручне розсиланнякористувачам інформації про їхній трафік по e-mail, у тому числі через сервери з SMTP-авторизацією.
- Підключення до каскадного проксііз можливістю авторизації.
- Гнучкий генератор звітівз можливістю експорту до MS Excel та HTML.
- Різні способи авторизації користувачів:за всіма протоколами; за IP-адресою, за IP+MAC, IP+MAC (абонемент); на ім'я та пароль користувача; за допомогою авторизації Windows та Active Directory.
- Імпорт користувачів з Active Directory - Тепер Вам не доведеться вручну заводити кілька сотень користувачів, за Вас все зробить програма.
- Планувальник завданьдозволяє у вказаний час виконати одну з наперед визначених дій: розіслати статистику, запустити програму, встановити або розірвати dial-up з'єднання, оновити антивірусні бази.
- UserGateпідтримує такі протоколи:
- HTTP (кешує);
- FTP (кешує);
- Socks4, Socks5;
- POP3;
- SMTP;
- Будь-який протокол UDP/TCP по NAT (Network Address Translation) та через призначення портів.
Економія коштів на використання Інтернету
За допомогою вбудованих фільтрів UserGateблокує завантаження реклами з Інтернету та забороняє доступ до небажаних ресурсів.
Увага: Адміністратор може заборонити завантажувати файли певного розширення, наприклад, jpeg, mp3.
Також програма може запам'ятовувати (кешувати) всі відвідані сторінки та малюнки, звільняючи канал для завантаження корисної інформації. Усе це значною мірою скорочує як трафік, а й час, проведене лінії.
Проксі - сервер UserGate: облік трафіку вашої мережі!
Крім обліку трафіку, ІКС дає можливість обмежити доступ до інтернету, а також дозволяє повністю контролювати швидкість передачі даних. Це один із найбільш ефективних комплексів, що дозволяють керувати доступом користувачів корпоративної мережів інтернет.
Повний контроль для ефективного використання корпоративної мережі
Обмеження інтернету є одним із актуальних завдань при формуванні та обслуговуванні корпоративної мережі. Не секрет, що найчастіше співробітники в офісах використовують доступ до інтернету зовсім не для вирішення робочих завдань. В результаті значно знижується продуктивність роботи, а отже, страждає на ефективність бізнесу.
ІКС має широкими можливостями, у тому числі робить можливим обмеженнядоступу, а також дозволяє задавати обмеження інтернет трафіку по IP або вибраним URL в мережі. Усі обмеження можуть застосовуватись для різних категорій та груп користувачів. За рахунок цього забезпечується ефективне використаннякорпоративної мережі, що покращує продуктивність праці та знижується вартість послуг провайдера.
Існує можливість легко забезпечити контроль швидкості інтернету у мережі вашої компанії за рахунок використання Proxy-server та Firewall. Це дає впевненість у тому, що всі працівники використовують Всесвітня мережалише для вирішення робочих завдань. В результаті значно підвищується ефективність роботи офісу та зростає прибуток.
Контроль використання інтернету за допомогою ІКС
Завдяки використанню ІКС забезпечується зручний контроль доступу користувачів до Інтернету в корпоративній мережі, який може бути реалізований кількома способами. Обмежити трафік інтернету можна за допомогою гнучких налаштувань. У тому числі пропонуються такі функції:
- при порушенні блокування видається певне повідомленняабо здійснюється перенаправлення користувача на певний сайт;
- існує можливість задати тимчасове обмеження доступу до Інтернету;
- контроль трафіку та відвіданих ресурсів з використанням контентної фільтрації- блокується доступ до ресурсів певної категорії.
Крім цього, програма дозволяє налаштовувати різні способиавторизації. Так обмеження та контроль доступу до Інтернету може здійснюватися з використанням наступних способів:
- введення логіну та індивідуального пароля;
- отримання доступу в інтернет при вході під особисту обліковим записом(«ActiveDirectory»);
- авторизація за певним ІР;
- використання спеціальної програми-агенту.
Можливості з керування користувачами
Існує можливість об'єднання користувачів локальної мережі підприємства до груп залежно від будь-яких ознак, наприклад, від організаційної структури, службових обов'язків тощо. Це значно підвищує ефективність контролю доступу у локальних мережах. Кожна з таких груп може призначати окремого адміністратора. Контроль за використанням Інтернету може передбачати блокування або обмеження доступу окремо для будь-якої з існуючих груп з можливістю завдання докладного правила.
Також може надаватися доступ до Інтернету для інших підприємств із можливістю завдання певних обмежень. При цьому для кожного з таких підприємств може створюватись окрема групаз наданням пароля її адміністратору. Це можна назвати передачею віртуального ІКС у користування третій стороні.
Робота з віддаленими офісами
Купуючи ІКС, ви отримуєте в комплекті готовий VPN-сервер, який забезпечить зв'язок із віддаленими офісами компанії з використанням шифрованого тунелю з можливістю здійснення контролю швидкості інтернету для кожного з них. Зв'язок забезпечується так само ефективно, якби віддалені офіси були фізично підключені до загальної корпоративної мережі компанії.
Купівля ІКС
Придбати ІКС можна за допомогою форми замовлення на нашому сайті.
Нашою компанією здійснюється активна технічна підтримкаклієнтів з усіх питань, пов'язаних із використанням програми. Купуючи додатково Ліцензію на оновлення (Преміум), Ви вручаєте всі турботи щодо встановлення, налаштування та супроводу ІКС в руки наших фахівців - ідеальний варіант для тих, хто хоче купити та забути, отримуючи при цьому максимальні вигодивід використання ІКС. За будь-якими консультаціями звертайтесь до відділу продажу.
Шкільний портал підтримує керування доступом до Інтернету.
Управління здійснюється через інтеграцію із проксі-сервером Squid.
Щоб змінити права доступу, перейдіть до меню: Сервіс → Доступ до інтернету....
Ця дія доступна лише представникам адміністрації школи.
Щоб дати доступ в інтернет, достатньо поставити галочку у імені користувача (учня, вчителя) або цілого класу. Щоб скасувати доступ, потрібно зняти галочку. Зміни використовуються після натискання кнопки "Зберегти".
Щоб машина в локальній мережі зверталася до Інтернету, керуючись допуском, налаштованим у Порталі, потрібно налаштувати її використовувати проксі-сервер.
Адреса проксі-сервера - це адреса вашого шкільного сервера в локальній мережі, куди встановлений Шкільний портал. Порт проксі-сервера - 3128 .
При зверненні користувача в інтернет через проксі-сервер буде затребуваний логін та пароль від Шкільного порталу.
Щоб надійно запобігти доступу в інтернет в обхід проксі-сервера, варто перевірити, що шкільний сервер не надає маршрутизацію в інтернет машинам, що цікавлять, а також що машини не мають доступу через комутатор, модем, роутер, Wi-Fi та інше обладнання освітньої установи, до якого співробітники та учні мають мережевий доступ.
Системи контентної фільтрації (СКФ)
Підтримується як відсутність СКФ, і інтеграція з безліччю провайдерів.
Налаштування СКФ знаходиться в лівій колонці сторінки керування доступом до Інтернету.
Деякі СКФ потребують реєстрації для керування списками заборонених ресурсів (наприклад, соціальні мережі, непристойні матеріали, колекції рефератів тощо). Зміна таких налаштувань проводиться у веб-інтерфейсах на сайті СКФ, а не в Порталі. Підтримку користувачів з питань якості фільтрації здійснює організація, що обслуговує ШКФ. У Порталі виконується лише включення та відключення направлення запитів до DNS-серверів СКФ з проксі-сервера школи і не більше.
СКФ аналогічно допуску в інтернет застосовується лише до машин, які строго налаштовані через шкільний проксі-сервер.
Важливо! Роботу СКФ після включення необхідно перевіряти згідно з вашими очікуваннями, оскільки Портал автоматично не може перевірити це за вас. Умови надання СКФ можуть змінитися їх виробниками будь-якої миті. Варто бути підписаними на новини сервісу, яким ви користуєтесь.
Що робити, якщо Портал виводить напис "Функцію вимкнено" або щось не працює.
Перевірки та дії в цій частині статті наведено тільки для Ubuntu Server 10.04 LTS:
Усі дії необхідно виконувати від користувача root.
1. Чи встановлено squid?
Dpkg-s squid3 | grep -i version
Якщо ні, встановіть:
Apt-get install squid3
2. Чи є ці параметри у файлі конфігурації Порталу?
Auth = basic htpasswd = /var/www/sp_htpasswd sp_users_allowed = /var/www/sp_users_allowed
Якщо ні, додайте та виконайте
Pkill speedy
3. Squid запущено? Слухає порт 3128?
Перевірка:
Netstat-ntlp | grep 3128
У відповідь має бути приблизно наступне (1234 для прикладу, у вас може бути інший номер процесу):
Tcp 0 0 0.0.0.0:3128 0.0.0.0:* LISTEN 1234/(squid)
Як запустити Squid:
/etc/init.d/squid3 start
* Starting Squid HTTP Proxy 3.0 squid3
4. Поставте Squid в автозапуск:
Update-rc.d squid3 enable
5. Створіть, якщо ні, і задайте права доступу до службових файлів, які відповідають за керування з боку Порталу:
Touch /var/www/sp_htpasswd /var/www/sp_users_allowed chown www-data.proxy /var/www/sp_htpasswd /var/www/sp_users_allowed chmod 660 /var/www/sp_htpasswd /var/www/sp_users_allowed
6. Файл конфігурації Squid-а «з коробки» не готовий до інтеграції, його необхідно підправити.
Спочатку переконайтеся, що в ньому немає інтеграції з порталом (багаторазове виправлення неприпустимо):
Grep "School Portal Internet Control" /etc/squid3/squid.conf
Якщо рядок від виконання команди вище виводиться, це слід пропустити.
Однак, якщо файл конфігурації був змінений таким чином, що рядок є, а інтеграція не почне працювати, візьміть Вихідний файлконфігурації від Squid та виконайте цей крок над ним.
Отже, якщо рядки НІ:
6.1. Видалення правил, що перешкоджають інтеграції та зміну сторінок помилок на російські версії:
Perl -i-original -p -e "s!^http_access deny all$!#http_access deny all!; s!^# error_directory /usr/share/squid3/errors/templates$!error_directory /usr/share/squid-langpack /ru!; /etc/squid3/squid.conf
6.2. Внесення фрагмента інтеграції:
Echo " # ============================== # # School Portal Internet Control # Натисніть, щоб розмістити /etc/squid3/squid.conf with /etc/squid3/squid.conf-original # ============================== auth_param basic program /usr/lib/ squid3/ncsa_auth /var/www/sp_htpasswd auth_param basic children 5 auth_param basic realm Squid proxy-caching web server auth_param basic credentialsttl 2 hours auth_param basic _users_allowed http_access deny all " > > /etc/squid3/squid.conf
Якщо такий блок файлу squid.conf присутній більше одного разу, видаліть повтори, навіть якщо все працює. З повтором Squid при кожному оновленні списку допуску з порталу сипатиме в свій журнал попередження про перевизначення правил.
6.3. Після внесення змін, Squid потрібно перезапустити.
/etc/init.d/squid3 restart
7. Далі скористайтесь веб-інтерфейсом Шкільного порталу для роздачі доступу до Інтернету. Ви повинні спостерігати за зміною списку дозволених логінів користувачів порталу у файлі /var/www/sp_users_allowed після натискання кнопки "Застосувати" у веб-інтерфейсі порталу.
Журнали доступу до Squid (/var/log/squid3) містять логіни користувачів порталу. Можна використовувати будь-які аналізатори логів, сумісні із форматом логів Squid. Інтеграція з Порталом не порушує формат журналів за замовчуванням, відмінність у наявності логінів з порталу на місці, де стояв би прочерк за відсутності авторизації користувачів.
8. Перевірте, чи не блокує з'єднання фаєрволл на шкільному сервері та на клієнтських машинах. За промовчанням на чистому в Ubuntu Server фаєрвол дозволяє всі з'єднання, якщо ви втручалися в його конфігурацію будь-якими засобами, забезпечте дозвіл з'єднань з локальної мережі школи до порту 3128 сервера і вихідні з'єднання з сервера.
