Meniul
Acasăexcela

Soluții standard pentru organizarea accesului la Internet pentru organizațiile mici. Revizuirea opțiunilor de organizare a accesului la serviciile de rețea corporative de pe Internet

Intrări: 4

Controlul accesului la internet de la distanță (control parental)

Acest ghid descrie procesul de configurare a computerelor care rulează sisteme de operare Windows XP, 7 sau Linux (Ubuntu) pentru a controla de la distanță accesul la site-urile Internet.

Manualul nu descrie în detaliu modul de lucru cu serviciul Rejector, care va fi discutat mai jos, vă permite doar să vă configurați computerul în așa fel încât să profitați din plin de capacitățile acestuia.

Toate instrumentele utilizate sunt software gratuite sau open source.

Introducere

Internetul este un instrument excelent pentru a studia, a se relaxa sau a comunica cu prietenii. Dar, pe lângă informațiile utile de pe Internet, există și informații nedorite pentru copilul tău. În plus, navigarea pe internet timp de multe ore vă poate distrage atenția de la alte activități importante, cum ar fi temele, sportul, somnul sau socializarea cu semenii. Prin urmare, este necesar să monitorizați activitățile online ale copilului.

Există multe metode de control diferite, dar nu sunt întotdeauna eficiente. Persuasiunea și conversațiile educaționale pot funcționa pentru o perioadă foarte scurtă de timp, deoarece a fi pe internet poate captiva atât de mult un copil, încât uită de toată persuasiunea. Și interdicțiile pot afecta negativ dezvoltarea abilităților utile pentru căutare și învățare pe Internet.

În astfel de cazuri, programele speciale pentru restricționarea și controlul accesului la rețea vă vor ajuta. Cu ajutorul lor, îți poți proteja copilul de influențele negative ale Internetului, dar, în același timp, oferi libertate de acțiune. Un astfel de instrument este Rejector Internet Access Control System.

Rejector este un proiect centralizat pentru controlul accesului la Internet. Vă va permite să protejați copiii și adolescenții de informații periculoase. În esență, Rejector este un server DNS cu capacitatea de a-l controla de la distanță.

Cum functioneaza?

    Vă înregistrați, adăugați IP-ul dvs., configurați setările de acces. Puteți utiliza serviciul fără înregistrare, dar apoi nu veți putea folosi toate caracteristicile acestuia.

    Calculatoarele dumneavoastră sunt configurate astfel încât toate solicitările DNS să fie trimise către serverele DNS Rejector 95.154.128.32 și 176.9.118.232.

    Fiecare solicitare este verificată în funcție de setările dvs., cum ar fi categorii sau site-uri blocate, site-uri permise sau blocate, liste de marcaje sau site-uri înșelătorie, iar dacă este blocată, solicitarea este redirecționată către pagina de blocare.

    Puteți personaliza această pagină după cum doriți.

    Solicitările permise care trec verificarea intră în memoria cache a cererilor generale pentru livrare rapidă către toți clienții.

O descriere mai detaliată a produsului Rejector poate fi găsită pe site-ul oficial rejector.ru

Instrucțiuni pentru configurarea sistemului

1. Creați un utilizator cu drepturi normale

De obicei, la instalarea unui sistem de operare, este creat un utilizator cu drepturi de administrator. Un astfel de utilizator poate efectua toate acțiunile posibile oferite de sistemul de operare, inclusiv ștergerea sistemului în sine.

Pentru a exclude reversibilitatea tuturor acțiunilor noastre ulterioare din partea utilizatorului asupra căruia preluăm controlul, vom crea un utilizator cu drepturi limitate și vom folosi o parolă pentru Administrator.

Pe Windows, acest lucru se face prin Panoul de control; Pe Linux, crearea utilizatorilor este disponibilă prin Setări de sistem.

2. Configurați o conexiune la rețea

Rejector este un serviciu care este în esență un server DNS. Pentru a lucra cu acesta, mai întâi trebuie să configurați conexiunea la rețea, astfel încât cererile DNS să fie trimise către serverele DNS Rejector 95.154.128.32 și 176.9.118.232.

Acest lucru se face diferit pe Windows și Linux.

Windows XP

Windows Vista

Instrucțiuni detaliate se găsesc la

Windows 7

Instrucțiuni detaliate se găsesc la

Majoritatea sistemelor de operare Linux folosesc programul Network Manager pentru a configura rețeaua. Pentru a schimba serverul DNS, procedați în felul următor:

    Faceți clic dreapta pe indicatorul de conexiune și, în meniul contextual, selectați elementul Schimbați conexiunea

    Dacă utilizați un server DHCP atunci când vă conectați la Internet, atunci în parametrii IPv4 schimbăm Metoda de setare pe Automat (DHCP, numai adresa)

    În câmp Servere DNS introduceți două adrese separate prin virgule 95.154.128.32, 176.9.118.232

    Realizarea unei conexiuni Disponibil pentru toți utilizatoriiȘi Conectat automat

3. Înregistrați-vă pe site-ul Rejector

În principiu, de aici am putea începe. Dar acum că una dintre dificultăți a trecut în urmă, facem acest lucru ușor și simplu. Urmați linkul și completați un formular simplu de înregistrare.

4. Adăugați o rețea gestionată

Înregistrându-ne pe serviciu, putem crea numărul necesar de rețele sau, care, în principiu, este același lucru - clienți pe care îi vom gestiona. Rețelele (Clienții) sunt identificate în serviciu prin adresa lor IP. Prin urmare, pentru a controla accesul la Internet al unui computer, trebuie să cunoașteți adresa IP a acestuia. Deocamdată, să creăm o rețea prin Panoul de control de pe site-ul Rejector la.

Completați formularul Adăugați rețea. Numele retelei - aici poți indica numele copilului tău dacă are propriul computer și vrei să-l controlezi. stare- cel mai probabil, veți avea o adresă IP dinamică (furnizorii rari alocă gratuit o adresă statică pentru clienții lor), așa că selectăm acest comutator. ID-ul rețelei- puteți scrie în latină numele pe care l-ați specificat în primul câmp.

5. Trimitere adresa IP

Pentru ca serviciul să funcționeze, trebuie să „știe” în mod constant adresa IP a clientului, care se poate schimba de la conexiune la conexiune (adresă IP dinamică). Aceasta este principala problemă pe care o abordează acest ghid.

Înșiși dezvoltatorii de servicii oferă programul Rejector Agent, care trimite adresa IP a clientului către server. Dar, acest program nu poate funcționa autonom. Prin urmare, vom profita de cealaltă oportunitate oferită. Și anume, actualizarea folosind o cerere HTTP (descrierea la link).

Pentru a actualiza informațiile despre client printr-o solicitare HTTP în fundal, avem nevoie de programul Curl. Acest program este capabil să trimită versiuni HTTP pe Internet prin linia de comandă. Vom seta parametrii acestui program în script; pentru Windows acesta va fi un fișier bash pentru Linux - sh.

Curl este disponibil gratuit și are o versiune Windows, așa că o vom folosi în ambele medii. Pentru Windows, cea mai recentă versiune a programului poate fi descărcată de pe acest link. Pentru a instala, trebuie doar să despachetați conținutul arhivei rezultate în folderul C:\WINDOWS\SYSTEM32 (acest lucru va ușura lansarea programului). Într-un sistem de operare Linux, cel mai probabil va fi deja instalat.

6. Script pentru actualizarea regulată a adresei IP

Site-ul oferă următoarea solicitare HTTP http://nume utilizator: [email protected]/ni...,
care va actualiza valoarea adresei IP. Îl vom înlocui ca parametru pentru programul curl.

Solicitarea de actualizare a adresei trebuie trimisă de pe computerul pe care dorim să-l controlăm. Datorită faptului că terminalul text procesează comenzile într-un mod special, textul solicitării a trebuit să fie ușor modificat. Textul scriptului pentru Windows și Linux este prezentat mai jos.

Pentru Windows

:buclă
curl "http:// autentificare%%40mail-server.com:parola@updates.rejector.ru/nic/update?hostname= nume-net"
# Faceți o întârziere de 300 de secunde
ping -n 300 127.0.0.1 > NUL
ecou 111
du-te în buclă

Unde login%%40mail-server.com este căsuța poștală cu care v-ați înregistrat pe Rejector (semnul @ este înlocuit cu %%40); parola - parola; net-name este numele rețelei din serviciul Rejector.Plasați textul scriptului într-un fișier text obișnuit, înlocuiți extensia cu .bat și veți obține un script executabil.

Pentru Linux

#! /usr/bin/sh
în timp ce adevărat; face curl -u [email protected]:parolă "http://updates.rejector.ru/nic/update?hostname=... sleep 300; gata;

Totul aici este similar cu intrarea pentru Windows. Scrieți acest text într-un fișier text cu extensia sh.

Ambele scripturi conțin parola contului Rejector în text clar, așa că este necesar să le ascundeți conținutul vizual pentru utilizatorul obișnuit. Acest lucru este implementat diferit în Linux și Windows

Pentru a interzice vizualizarea și editarea acestui fișier creat de noi, este necesar să schimbați proprietarul și grupul fișierului la root și să interziceți tuturor, cu excepția proprietarului, accesul la fișier. Dacă aveți abilități de linie de comandă, atunci trebuie să utilizați comanda CDîn directorul cu fișierul script și executați comanda chown root:root skcryptt.shȘi chmod 700 script.sh.,Pentru a face același lucru în shell-ul grafic, trebuie mai întâi să lansați managerul de fișiere cu drepturi de administrator, să găsiți fișierul script și să schimbați drepturi, folosind meniul contextual.

Fără a intra în modul în care puteți schimba drepturile de acces la fișiere similare cu Linux, am aplicat următoarea soluție. Să convertim fișierul nostru executabil într-un fișier EXE pentru a-i ascunde conținutul. În acest scop vom folosi un program gratuit Convertor Bat To Exe. Vă sugerez să descărcați versiunea sa rusificată de pe link sau de pe site-ul oficial al programului. Programul nu necesită nicio explicație în funcționare. La intrare punem fișierul bat, la ieșire obținem un fișier exe.

7. Setați-l să pornească automat

Ultimul pas rămâne de făcut. Să facem ca programul să pornească automat când sistemul pornește. Acest lucru se face diferit în Linux și Windows.

Ne conectăm ca administrator și mutăm fișierul nostru executabil.exe în folderul PogramFiles. În directorul principal al utilizatorului, găsiți folderul Meniu principal, în ea Programe, Autorun unde plasăm comanda rapidă din programul nostru (acest lucru se poate face trăgând programul însuși în timp ce țineți apăsată tasta Shift). Gata.

Puneți fișierul executabil în folder /usr/bin. Să edităm fișierul pentru lansarea aplicațiilor de sistem local /etc/rc.local, adăugând o linie înainte iesirea 0.

/usr/bin/script.sh

Unde script.sh- numele dosarului nostru.

Aceasta completează configurarea sistemului. Puteți merge la serviciul Rejector și puteți configura modul de funcționare a rețelei.

Pe lângă contabilizarea traficului, ICS face posibilă limitarea accesului la Internet și, de asemenea, vă permite să controlați complet viteza de transfer de date. Acesta este unul dintre cele mai eficiente sisteme care vă permite să gestionați accesul utilizatorilor rețelei corporative la Internet.

Control deplin pentru utilizarea eficientă a rețelei corporative

Restricționarea internetului este una dintre sarcinile urgente la crearea și întreținerea unei rețele corporative. Nu este un secret pentru nimeni că de multe ori angajații de birou nu folosesc accesul la Internet pentru a rezolva problemele de serviciu. Ca urmare, productivitatea muncii este redusă semnificativ, ceea ce înseamnă că eficiența afacerii are de suferit.

ICS are capabilități largi, inclusiv ceea ce face posibilă restricționarea accesului și, de asemenea, vă permite să setați restricții asupra traficului de Internet prin IP sau după adrese URL selectate din rețea. Toate restricțiile se pot aplica diferitelor categorii și grupuri de utilizatori. Acest lucru asigură utilizarea eficientă a rețelei corporative, ceea ce îmbunătățește productivitatea și, de asemenea, reduce costul serviciilor oferite de furnizor.

Este posibil să controlați cu ușurință viteza de internet în rețeaua companiei dvs. prin utilizarea Proxy-server și Firewall. Acest lucru oferă încredere că toți angajații folosesc World Wide Web doar pentru a rezolva problemele de muncă. Ca urmare, eficiența biroului crește semnificativ, iar profiturile cresc.

Controlul utilizării Internetului folosind ICS

Datorită utilizării ICS, este asigurat un control convenabil al accesului utilizatorilor la Internet în rețeaua corporativă, care poate fi implementat în mai multe moduri. Puteți limita traficul de internet folosind setări flexibile. Sunt oferite următoarele funcții:

  • dacă blocarea este încălcată, se emite un anumit mesaj sau utilizatorul este redirecționat către un anumit site;
  • este posibilă setarea unei restricții temporare a accesului la Internet;
  • controlul traficului și al resurselor vizitate folosind filtrarea conținutului - accesul la resurse dintr-o anumită categorie este blocat.

În plus, programul vă permite să configurați diferite metode de autorizare. Astfel, restricționarea și controlul accesului la Internet poate fi efectuată folosind următoarele metode:

  • introducerea login-ului și a parolei individuale;
  • obținerea accesului la Internet atunci când vă conectați cu un cont personal („ActiveDirectory”);
  • autorizare pentru un IP specific;
  • utilizarea unui program de agent special.

Capabilitati de gestionare a utilizatorilor

Este posibil să se unească utilizatorii rețelei locale ale întreprinderii în grupuri în funcție de orice caracteristică, de exemplu, structura organizațională, responsabilitățile postului etc. Acest lucru crește semnificativ eficiența controlului accesului în rețelele locale. Fiecăruia dintre aceste grupuri i se poate atribui un administrator separat. Controlul utilizării internetului poate include blocarea sau restricționarea accesului separat pentru oricare dintre grupurile existente, cu posibilitatea de a stabili reguli detaliate.

Accesul la internet poate fi oferit și altor companii cu posibilitatea de a stabili anumite restricții. În acest caz, se poate crea un grup separat pentru fiecare dintre aceste întreprinderi, cu o parolă furnizată administratorului său. Acest lucru poate fi numit transferul unui ICS virtual pentru utilizare de către o terță parte.


Lucrul cu birouri la distanță

Prin achiziționarea unui ICS, primiți un server VPN gata făcut, care va asigura comunicarea cu birourile de la distanță ale companiei folosind un tunel criptat cu capacitatea de a controla viteza Internetului pentru fiecare dintre ele. Comunicarea este asigurată la fel de eficient ca și cum birourile de la distanță ar fi conectate fizic la rețeaua generală a companiei.


Cumpărarea unui ICS

Puteți cumpăra ICS folosind formularul de comandă de pe site-ul nostru.

Compania noastră oferă asistență tehnică activă clienților în toate problemele legate de utilizarea programului. Achiziționând o licență de actualizare suplimentară (Premium), puneți toate grijile legate de instalarea, configurarea și întreținerea ICS în mâinile specialiștilor noștri - o opțiune ideală pentru cei care doresc să cumpere și să uite, primind în același timp beneficii maxime din utilizarea ICS . Pentru orice sfat, va rugam sa contactati departamentul de vanzari.

Tipul organizației

Selectați tipul de organizație Instituție de învățământ Instituție bugetară Organizație comercială

Prețurile NU SE APLICĂ instituțiilor private non-statale și instituțiilor de învățământ profesional postuniversitar

Edițiile ICS

Nu este necesar ICS ICS standard FSTEC

Pentru a calcula costul FSTEC, contactați departamentul de vânzări

Tipul livrării

ICS ICS + SkyDNS ICS + Kaspersky Web Filtering

Tipul licenței

Licență nouă Actualizați licență

Extensie de licență de actualizare premium

număr de utilizatori

Extensie de licență

C inainte de utilizatorii


Kivshenko Alexey, 1880

Acest articol conține o prezentare generală cinci opțiuni pentru rezolvarea problemei de organizare a accesului la serviciile de rețea corporative de pe Internet. Revizuirea oferă o analiză a opțiunilor de siguranță și fezabilitate, care îi va ajuta atât pe specialiștii începători, cât și pe cei mai experimentați să înțeleagă esența problemei, să-și reîmprospăteze și să-și sistematizeze cunoștințele. Materialele din articol pot fi folosite pentru a-ți justifica deciziile de proiectare.

Când luăm în considerare opțiunile, să luăm ca exemplu rețeaua în care doriți să publicați:

  1. Server de corespondență corporativă (Web-mail).
  2. Server Terminal Enterprise (RDP).
  3. Serviciu extranet pentru contrapartide (Web-API).

Opțiunea 1: rețea plată

În această opțiune, toate nodurile rețelei corporative sunt cuprinse într-o singură rețea comună tuturor („Rețea internă”), în cadrul căreia comunicațiile dintre ele nu sunt limitate. Rețeaua este conectată la Internet printr-un router de frontieră/firewall (denumit în continuare IFW).

Gazdele accesează Internetul prin NAT și accesul la servicii de pe Internet prin Port forwarding.

Avantajele opțiunii:

  1. Cerințe minime de funcționare IFW(se poate face pe aproape orice router, chiar și pe un router de acasă).
  2. Cerințe minime de cunoștințe pentru specialistul care implementează opțiunea.
Dezavantajele opțiunii:
  1. Nivel minim de securitate. În cazul unui hack în care Intrusul câștigă controlul asupra unuia dintre serverele publicate pe Internet, toate celelalte noduri și canale de comunicare ale rețelei corporative îi devin disponibile pentru alte atacuri.
Analogie cu viața reală
O astfel de rețea poate fi comparată cu o companie în care personalul și clienții sunt într-o cameră comună (open space)


hrmaximum.ru

Opțiunea 2. DMZ

Pentru a elimina dezavantajul menționat anterior, nodurile de rețea accesibile de pe Internet sunt plasate într-un segment special desemnat - o zonă demilitarizată (DMZ). DMZ este organizat folosind firewall-uri care îl separă de Internet ( IFW) și din rețeaua internă ( DFW).


În acest caz, regulile de filtrare pentru firewall arată astfel:
  1. Din rețeaua internă puteți iniția conexiuni la DMZ și la WAN (Wide Area Network).
  2. Din DMZ puteți iniția conexiuni la WAN.
  3. Din WAN puteți iniția conexiuni la DMZ.
  4. Inițierea conexiunilor de la WAN și DMZ la rețeaua internă este interzisă.


Avantajele opțiunii:
  1. Securitate sporită a rețelei împotriva piratarii serviciilor individuale. Chiar dacă unul dintre servere este piratat, Intruderul nu va putea accesa resursele aflate în rețeaua internă (de exemplu, imprimante de rețea, sisteme de supraveghere video etc.).
Dezavantajele opțiunii:
  1. Mutarea serverelor în DMZ în sine nu crește securitatea acestora.
  2. Este necesar un firewall suplimentar pentru a separa DMZ de rețeaua internă.
Analogie cu viața reală
Această versiune a arhitecturii de rețea este similară cu organizarea zonelor de lucru și client dintr-o companie, unde clienții pot fi doar în zona client, iar personalul poate fi atât în ​​zona client, cât și în zona de lucru. Segmentul DMZ este tocmai un analog al zonei client.


autobam.ru

Opțiunea 3. Împărțirea serviciilor în Front-End și Back-End

După cum sa menționat mai devreme, plasarea unui server într-o zonă DMZ nu îmbunătățește în niciun fel securitatea serviciului în sine. Una dintre opțiunile de corectare a situației este împărțirea funcționalității serviciului în două părți: Front-End și Back-End. Mai mult, fiecare parte este situată pe un server separat, între care este organizată interacțiunea în rețea. Serverele Front-End, care implementează funcționalitatea de interacțiune cu clienții aflați pe Internet, sunt plasate în DMZ, iar serverele Back-End, care implementează funcționalitatea rămasă, sunt lăsate în rețeaua internă. Pentru interacțiunea dintre ei pe DFW creați reguli care să permită inițierea conexiunilor de la Front-End la Back-End.

Ca exemplu, luați în considerare un serviciu de e-mail corporativ care deservește clienți atât din interiorul rețelei, cât și de pe Internet. Clienții din interior folosesc POP3/SMTP, iar clienții de pe Internet lucrează prin interfața Web. De obicei, în etapa de implementare, companiile aleg cea mai simplă metodă de implementare a serviciului și plasează toate componentele acestuia pe un singur server. Apoi, pe măsură ce se realizează nevoia de a asigura securitatea informațiilor, funcționalitatea serviciului este împărțită în părți, iar partea care este responsabilă cu deservirea clienților de pe Internet (Front-End) este mutată pe un server separat, care interacționează prin intermediul rețea cu serverul care implementează funcționalitatea rămasă (Back -End). În acest caz, front-end-ul este plasat în DMZ, iar back-end-ul rămâne în segmentul intern. Pentru comunicarea între Front-End și Back-End activat DFW creați o regulă care să permită inițierea conexiunilor de la Front-End la Back-End.

Avantajele opțiunii:

  1. În general, atacurile îndreptate împotriva serviciului protejat se pot „împieci” de Front-End, care va neutraliza sau va reduce semnificativ posibilele daune. De exemplu, atacuri precum TCP SYN Flood sau citirea lentă http care vizează un serviciu vor duce la faptul că serverul Front-End poate deveni indisponibil, în timp ce Back-End-ul va continua să funcționeze normal și să servească utilizatorii.
  2. În general, serverul Back-End poate să nu aibă acces la Internet, ceea ce, dacă este piratat (de exemplu, prin rularea locală a codului rău intenționat), va îngreuna gestionarea lui de la distanță de pe Internet.
  3. Front-End-ul este potrivit pentru găzduirea unui firewall la nivel de aplicație (de exemplu, firewall pentru aplicații web) sau a unui sistem de prevenire a intruziunilor (IPS, de exemplu snort).
Dezavantajele opțiunii:
  1. Pentru comunicarea între Front-End și Back-End activat DFW se creează o regulă care permite inițierea unei conexiuni de la DMZ la rețeaua internă, care creează amenințări asociate cu utilizarea acestei reguli de la alte noduri din DMZ (de exemplu, prin implementarea atacurilor de falsificare IP, otrăvire ARP, etc.)
  2. Nu toate serviciile pot fi împărțite în Front-End și Back-End.
  3. Compania trebuie să implementeze procese de afaceri pentru actualizarea regulilor firewall.
  4. Compania trebuie să implementeze mecanisme pentru a se proteja împotriva atacurilor din partea intrușilor care au obținut acces la un server din DMZ.
Note
  1. În viața reală, chiar și fără a împărți serverele în Front-End și Back-End, serverele din DMZ au nevoie de foarte multe ori să acceseze servere situate în rețeaua internă, astfel încât dezavantajele indicate ale acestei opțiuni vor fi valabile și pentru opțiunea avută în vedere anterior.
  2. Dacă luăm în considerare protecția aplicațiilor care rulează prin interfața Web, atunci chiar dacă serverul nu acceptă separarea funcțiilor în Front-End și Back-End, utilizarea unui server proxy invers http (de exemplu, nginx) ca un Front-End va minimiza riscurile asociate cu atacurile pentru refuzul serviciului. De exemplu, atacurile de inundații SYN pot face ca proxy-ul invers http să nu fie disponibil în timp ce back-end-ul continuă să funcționeze.
Analogie cu viața reală
Această opțiune este în esență similară cu organizarea muncii, în care asistenții - secretarele - sunt folosiți pentru lucrătorii cu încărcare mare. Apoi Back-End-ul va fi analogul unui angajat ocupat, iar Front-End-ul va fi analogul unei secretare.


mln.kz

Opțiunea 4: DMZ securizat

DMZ este o parte a rețelei accesibilă de pe Internet și, prin urmare, este supusă riscului maxim de compromitere a gazdei. Designul DMZ-ului și abordările utilizate în acesta ar trebui să ofere o supraviețuire maximă în condițiile în care Intruderul a câștigat controlul asupra unuia dintre nodurile din DMZ. Ca posibile atacuri, să luăm în considerare atacurile la care sunt susceptibile aproape toate sistemele informatice care operează cu setări implicite:

Protecție împotriva atacurilor DHCP

În ciuda faptului că DHCP are scopul de a automatiza configurarea adreselor IP pentru stațiile de lucru, în unele companii există cazuri când adresele IP pentru servere sunt emise prin DHCP, dar aceasta este o practică destul de proastă. Prin urmare, pentru a vă proteja împotriva serverului DHCP Rogue, înfometarea DHCP, este recomandat să dezactivați complet DHCP în DMZ.

Protecție împotriva atacurilor de inundații MAC

Pentru a proteja împotriva inundațiilor MAC, porturile de comutare sunt configurate pentru a limita intensitatea maximă a traficului de difuzare (deoarece aceste atacuri generează de obicei trafic de difuzare). Atacurile care implică utilizarea unor adrese de rețea specifice (unicast) vor fi blocate prin filtrarea MAC, despre care am discutat mai devreme.

Protecție împotriva atacurilor de inundații UDP

Protecția împotriva acestui tip de atac este similară cu protecția împotriva inundațiilor MAC, cu excepția faptului că filtrarea este efectuată la nivel IP (L3).

Protecție împotriva atacurilor de inundații TCP SYN

Pentru a vă proteja împotriva acestui atac, sunt posibile următoarele opțiuni:
  1. Protecție la nodul rețelei folosind tehnologia TCP SYN Cookie.
  2. Protecție la nivel de firewall (supus subrețelei DMZ) prin limitarea intensității traficului care conține solicitări TCP SYN.

Protecție împotriva atacurilor asupra serviciilor de rețea și aplicațiilor Web

Nu există o soluție universală la această problemă, dar practica consacrată este implementarea proceselor de management al vulnerabilităților software (identificare, instalarea de patch-uri etc., de exemplu), precum și utilizarea sistemelor de detectare și prevenire a intruziunilor (IDS/IPS).

Protecție împotriva atacurilor de bypass de autentificare

Ca și în cazul precedent, nu există o soluție universală pentru această problemă.
De obicei, în cazul unui număr mare de încercări de autorizare nereușite, conturile sunt blocate pentru a evita ghicirea datelor de autentificare (de exemplu, o parolă). Dar această abordare este destul de controversată și iată de ce.
În primul rând, Intruderul poate efectua selecția informațiilor de autentificare cu o intensitate care să nu conducă la blocarea conturilor (sunt cazuri când parola a fost selectată pe parcursul mai multor luni cu un interval între încercări de câteva zeci de minute).
În al doilea rând, această caracteristică poate fi folosită pentru atacuri de denial of service, în care atacatorul va face în mod deliberat un număr mare de încercări de autorizare pentru a bloca conturile.
Cea mai eficientă opțiune împotriva atacurilor din această clasă va fi utilizarea sistemelor IDS/IPS, care, la detectarea încercărilor de ghicire a parolei, vor bloca nu contul, ci sursa din care are loc această ghicire (de exemplu, blocarea adresei IP a Intrusul).

Lista finală a măsurilor de protecție pentru această opțiune:

  1. DMZ este împărțit în subrețele IP cu o subrețea separată pentru fiecare nod.
  2. Adresele IP sunt atribuite manual de către administratori. DHCP nu este utilizat.
  3. Pe interfețele de rețea la care sunt conectate nodurile DMZ, sunt activate filtrarea MAC și IP, restricțiile privind intensitatea traficului de difuzare și traficul care conține solicitări TCP SYN.
  4. Negocierea automată a tipurilor de porturi este dezactivată pe switch-uri și este interzisă utilizarea VLAN-ului nativ.
  5. Un cookie TCP SYN este configurat pe nodurile DMZ și pe serverele de rețea interne la care se conectează aceste noduri.
  6. Managementul vulnerabilităților software este implementat pentru nodurile DMZ (și de preferință restul rețelei).
  7. Sistemele de detectare și prevenire a intruziunilor IDS/IPS sunt implementate în segmentul DMZ.
Avantajele opțiunii:
  1. Grad ridicat de securitate.
Dezavantajele opțiunii:
  1. Cerințe crescute pentru funcționalitatea echipamentelor.
  2. Costuri cu forța de muncă pentru implementare și suport.
Analogie cu viața reală
Dacă anterior am comparat DMZ cu o zonă de clienți echipată cu canapele și pouf, atunci un DMZ securizat va fi mai mult ca o casă de marcat blindată.


valmax.com.ua

Opțiunea 5. Conectare înapoi

Măsurile de protecție avute în vedere în versiunea anterioară s-au bazat pe faptul că în rețea exista un dispozitiv (switch/router/firewall) capabil să le implementeze. Dar, în practică, de exemplu, atunci când se utilizează o infrastructură virtuală (comutatoarele virtuale au adesea capabilități foarte limitate), un astfel de dispozitiv poate să nu existe.

În aceste condiții, multe dintre atacurile discutate anterior devin disponibile pentru Violator, dintre care cele mai periculoase vor fi:

  • atacuri care vă permit să interceptați și să modificați traficul (ARP Poisoning, CAM table overflow + TCP session hijacking etc.);
  • atacuri legate de exploatarea vulnerabilităților în serverele de rețea interne la care pot fi inițiate conexiuni din DMZ (ceea ce este posibil prin ocolirea regulilor de filtrare DFW din cauza falsificării IP și MAC).
Următoarea caracteristică importantă, pe care nu am luat-o în considerare anterior, dar care nu încetează să fie mai puțin importantă, este aceea că stațiile de lucru automate (AWS) ale utilizatorilor pot fi și o sursă (de exemplu, atunci când sunt infectate cu viruși sau troieni) de efecte dăunătoare. pe servere.

Astfel, ne confruntăm cu sarcina de a proteja serverele rețelei interne de atacurile Intrușului atât din DMZ, cât și din rețeaua internă (infectarea stației de lucru cu un troian poate fi interpretată ca acțiuni ale Intrusului din rețeaua internă). ).

Abordarea propusă mai jos are ca scop reducerea numărului de canale prin care un Intrus poate ataca serverele și există cel puțin două astfel de canale. Prima este regula cu privire la DFW, permițând accesul la serverul de rețea intern din DMZ (chiar dacă este limitat de adrese IP), iar al doilea este un port de rețea deschis pe server pe care sunt așteptate cereri de conectare.

Puteți închide aceste canale dacă serverul de rețea intern însuși construiește conexiuni la serverul din DMZ și face acest lucru folosind protocoale de rețea sigure criptografic. Atunci nu va exista nici un port deschis, nici o regulă DFW.

Dar problema este că serviciile de server obișnuite nu știu cum să funcționeze în acest fel, iar pentru a implementa această abordare este necesar să se folosească tunelul de rețea, implementat, de exemplu, folosind SSH sau VPN, iar în cadrul tunelurilor permit conexiunile de la server. în DMZ către serverul de rețea intern.

Schema generală de funcționare a acestei opțiuni este următoarea:

  1. Un server SSH/VPN este instalat pe serverul din DMZ, iar un client SSH/VPN este instalat pe serverul din rețeaua internă.
  2. Serverul de rețea intern inițiază construcția unui tunel de rețea către serverul din DMZ. Tunelul este construit cu autentificarea reciprocă a clientului și a serverului.
  3. Serverul din DMZ, în cadrul tunelului construit, inițiază o conexiune la serverul din rețeaua internă, prin care sunt transmise datele protejate.
  4. Un firewall local este configurat pe serverul de rețea intern pentru a filtra traficul care trece prin tunel.

Utilizarea acestei opțiuni în practică a arătat că este convenabil să construiți tuneluri de rețea folosind OpenVPN, deoarece are următoarele proprietăți importante:

  • Multiplatformă. Puteți organiza comunicarea pe servere cu sisteme de operare diferite.
  • Posibilitatea de a construi tuneluri cu autentificare reciprocă a clientului și serverului.
  • Posibilitatea utilizării criptografiei certificate.
La prima vedere, poate părea că această schemă este inutil de complicată și că, din moment ce mai trebuie să instalați un firewall local pe serverul rețelei interne, ar fi mai ușor să faceți serverul din DMZ, ca de obicei, să se conecteze la rețeaua internă. server, dar faceți-o prin conexiune criptată. Într-adevăr, această opțiune va rezolva multe probleme, dar nu va putea oferi principalul lucru - protecție împotriva atacurilor asupra vulnerabilităților interne ale serverului de rețea efectuate prin ocolirea firewall-ului folosind IP și MAC spoofing.

Avantajele opțiunii:

  1. Reducerea arhitecturală a numărului de vectori de atac pe serverul de rețea intern protejat.
  2. Asigurarea securității în absența filtrării traficului de rețea.
  3. Protejarea datelor transmise prin rețea împotriva vizualizării și modificărilor neautorizate.
  4. Capacitatea de a crește selectiv nivelul de securitate al serviciilor.
  5. Capacitatea de a implementa un sistem de protecție cu două circuite, în care primul circuit este furnizat folosind firewalling, iar al doilea este organizat pe baza acestei opțiuni.
Dezavantajele opțiunii:
  1. Implementarea și întreținerea acestei opțiuni de protecție necesită costuri suplimentare cu forța de muncă.
  2. Incompatibilitate cu sistemele de detectare și prevenire a intruziunilor în rețea (IDS/IPS).
  3. Sarcină suplimentară de calcul pe servere.
Analogie cu viața reală
Sensul principal al acestei opțiuni este că persoana de încredere stabilește o conexiune cu persoana care nu are încredere, ceea ce este similar cu situația în care, la emiterea de împrumuturi, Băncile înseși îl sună pe potențialul împrumutat înapoi pentru a verifica datele.
  • rețele corporative
    • Adaugă etichete

    Portalul școlii acceptă gestionarea accesului la Internet.

    Managementul se realizează prin integrare cu serverul proxy Squid.

    Pentru a schimba drepturile de acces, accesați meniul: Serviciu → Acces la internet....

    Această acțiune este disponibilă doar reprezentanților administrației școlii.

    Pentru a oferi acces la Internet, trebuie doar să bifați caseta de lângă numele de utilizator (elev, profesor) sau întreaga clasă. Pentru a revoca accesul, trebuie să debifați caseta. Modificările se aplică după ce faceți clic pe butonul „Salvare”.

    Pentru ca o mașină din rețeaua locală să acceseze Internetul, ghidată de permisiunea configurată în Portal, trebuie să o configurați pentru a utiliza un server proxy.

    Adresa serverului proxy este adresa serverului școlii dvs. din rețeaua locală în care este instalat portalul școlii. Port proxy - 3128 .

    Atunci când un utilizator accesează Internetul printr-un server proxy, vor fi necesare o autentificare și o parolă de pe portalul școlii.

    Pentru a preveni în mod fiabil accesul la Internet ocolind serverul proxy, merită să verificați dacă serverul școlii nu oferă rutare Internet către mașinile de interes și, de asemenea, că mașinile nu au acces printr-un comutator, modem, router, Wi-Fi. Fi și alte echipamente ale instituției de învățământ, la care personalul și studenții au acces la rețea.

    Sisteme de filtrare a conținutului (SCF)

    Sunt acceptate atât absența SCF, cât și integrarea cu mai mulți furnizori.

    Setarea SCF este situată în coloana din stânga a paginii de gestionare a accesului la Internet.

    Unele SCF necesită înregistrare pentru a gestiona liste de resurse interzise (de exemplu, rețele sociale, materiale obscene, colecții de rezumate etc.). Astfel de setări sunt modificate în interfețele web de pe site-ul SCF în sine, și nu în Portal. Asistența utilizatorilor cu privire la problemele legate de calitatea filtrării este oferită de organizația care deservește SCF. Portalul vă permite doar să activați sau să dezactivați trimiterea de interogări către serverele SCF DNS de pe serverul proxy al școlii și nimic mai mult.

    SCF, similar cu accesul la Internet, se aplică numai mașinilor care sunt configurate strict prin serverul proxy al școlii.

    Important! Funcționarea SCF după pornire trebuie verificată conform așteptărilor dumneavoastră, deoarece Portalul nu poate verifica automat acest lucru pentru dvs. Termenii și condițiile pentru furnizarea SCF pot fi modificate de producătorii acestora în orice moment. Merită să vă abonați la știri de la serviciul pe care îl utilizați.

    Ce trebuie să faceți dacă Portalul afișează mesajul „Funcție dezactivată” sau ceva nu funcționează.

    Verificările și acțiunile din această parte a articolului sunt date numai pentru Ubuntu Server 10.04 LTS:

    Toate acțiunile trebuie efectuate ca utilizator root.

    1. Este instalat calmarul?

    Dpkg -s squid3 | versiunea grep -i

    Dacă nu, instalați:

    Apt-get install squid3

    2. Acești parametri sunt în fișierul de configurare Portal?

    Auth = htpasswd de bază = /var/www/sp_htpasswd sp_users_allowed = /var/www/sp_users_allowed

    Dacă nu, adăugați și rulați

    Pkill rapid

    3. Squid aleargă? Ascultați pe portul 3128?

    Examinare:

    Netstat -ntlp | grep 3128

    Răspunsul ar trebui să fie cam așa (1234 este un exemplu, este posibil să aveți un număr de proces diferit):

    Tcp 0 0 0.0.0.0:3128 0.0.0.0:* ASCULTĂ 1234/(calamar)

    Cum să începeți calmarul:

    /etc/init.d/squid3 start

    * Pornirea Squid HTTP Proxy 3.0 squid3

    4. Setați Squid la pornire automată:

    Activare Update-rc.d squid3

    5. Creați, dacă nu, și setați drepturi de acces la fișierele de servicii responsabile cu gestionarea de către Portal:

    Atingeți /var/www/sp_htpasswd /var/www/sp_users_allowed chown www-data.proxy /var/www/sp_htpasswd /var/www/sp_users_allowed chmod 660 /var/www/sp_htpasswd /var/www/sp_users_allowed

    6. Fișierul de configurare Squid din cutie nu este pregătit pentru integrare, trebuie corectat.

    În primul rând, asigurați-vă că NU ARE integrare cu portal (patch-urile multiple nu sunt acceptabile):

    Grep „Control Internet Portalul școlii” /etc/squid3/squid.conf

    Dacă se iese linia de comandă de mai sus, atunci acest pas ar trebui sărit.

    Cu toate acestea, dacă fișierul de configurare a fost modificat astfel încât linia să fie acolo și integrarea nu funcționează, luați fișierul de configurare original de la Squid și efectuați acest pas pe el.

    Deci, dacă nu există nicio linie:

    6.1. Eliminarea regulilor care împiedică integrarea și schimbarea paginilor de eroare în versiuni rusești:

    Perl -i-original -p -e "s!^http_access deny all$!#http_access deny all!; s!^# error_directory /usr/share/squid3/errors/templates$!error_directory /usr/share/squid-langpack /ru!;" /etc/squid3/squid.conf

    6.2. Adăugarea unui fragment de integrare:

    Echo " # ============================= # School Portal Internet Control # Pentru a dezactiva înlocuiți /etc/squid3/squid.conf cu /etc/squid3/squid.conf-original # ======================================= ==== program de bază auth_param /usr/lib/ squid3/ncsa_auth /var/www/sp_htpasswd copii de bază auth_param 5 tărâm de bază auth_param Server web de stocare în cache proxy Squid acreditări de bază auth_paramttl 2 ore auth_param de bază sensibil la majuscule pe acl sped_users/ www/sp_users_allowed" http_access permit sp_users_allowed http_access deny all " > > /etc/squid3/squid.conf

    Dacă un astfel de bloc apare de mai multe ori în fișierul squid.conf, eliminați duplicatele, chiar dacă totul funcționează. Cu repetare, de fiecare dată când lista de admitere este actualizată de pe portal, Squid va turna avertismente în jurnalul său despre redefinirea regulilor.

    6.3. După efectuarea modificărilor, Squid trebuie repornit.

    /etc/init.d/squid3 reporniți

    7. Apoi, utilizați interfața web a portalului școlii pentru a distribui accesul la Internet. Ar trebui să vedeți o modificare a listei de autentificări permise ale utilizatorilor portalului în fișierul /var/www/sp_users_allowed după ce faceți clic pe butonul „Aplicați” din interfața web a portalului.

    Jurnalele de acces Squid (/var/log/squid3) vor conține autentificări ale utilizatorilor portalului. Puteți utiliza orice analizoare de jurnal care sunt compatibile cu formatul de jurnal Squid. Integrarea cu Portalul nu încalcă formatul implicit al jurnalelor; diferența este prezența autentificărilor din portal în locul în care ar exista o liniuță în absența autorizației utilizatorului.

    8. Verificați dacă firewall-ul de pe serverul școlii și de pe mașinile client blochează conexiunile. În mod implicit, pe un server Ubuntu curat, firewall-ul permite toate conexiunile; dacă ați interferat cu configurația acestuia prin orice mijloace, asigurați-vă că sunt permise conexiunile din rețeaua locală a școlii la portul 3128 al serverului și conexiunile de ieșire de la server.

    Administratorul distribuie resurse de Internet pentru angajații companiei, creând liste cu nume de domenii interzise sau permise, adrese IP etc. În același timp, el poate stabili restricții privind timpul sau volumul de trafic. În caz de cheltuire excesivă, accesul la Internet este închis automat.

    Atenție: administratorul poate oferi întotdeauna managementului un raport privind utilizarea rețelei de către fiecare angajat.

    • Sistem flexibil de reguli pentru controlul accesului la Internet:
      • restricții privind timpul de funcționare, asupra volumului de trafic trimis/primit (contabilitatea traficului) pe zi și/sau săptămână și/sau lună, asupra volumului de timp folosit pe zi și/sau săptămână și/sau lună;
      • filtre care controlează accesul utilizatorilor la resurse nedorite (sexuale, site-uri de jocuri);
      • sistem dezvoltat restricții de traficȘi viteza de acces pentru fiecare utilizator. În caz de trafic excesiv, accesul la Internet se închide automat;
      • liste de nume de domenii interzise sau permise, adrese IP, părți din șirul URL, accesul la care este interzis/permis de administrator;
      • capacitatea de a seta o serie de adrese IP permise și interzise;
      • programul orar al lucrului utilizatorului pe Internet;
      • filtre care vă permit să configurați „tăierea bannerului” foarte eficientă.
    • Numărarea și vizualizarea statisticilor activitatea utilizatorului în funcție de diverși parametri (zile, site-uri) pentru un interval de timp arbitrar. Vizualizarea statisticilor de pe Internet privind activitatea utilizatorilor pentru luna curentă prin HTTP este posibilă numai pentru utilizatorii din rețeaua locală.
    • Sistem de facturare încorporat calculează automat costul muncii unui utilizator pe Internet pe baza prețului, timpului și/sau volumului de trafic. Puteți seta tarife pentru fiecare utilizator individual sau pentru un grup de utilizatori. Este posibilă schimbarea tarifelor în funcție de ora din zi, ziua săptămânii sau adresa site-ului.

    Securitatea informațiilor de birou

    • Suport VPN O rețea privată virtuală este o combinație de mașini individuale sau rețele locale dintr-o rețea, a cărei securitate este asigurată de un mecanism de criptare a datelor și autentificare a utilizatorilor.
    • Firewall încorporat previne accesul neautorizat la datele serverului și rețelei locale prin interzicerea conexiunilor pe anumite porturi și protocoale. Funcționalitatea firewall controlează accesul la porturile necesare, de exemplu, pentru a publica serverul web al unei companii pe Internet.
    • Kaspersky Antivirus și Panda integrat în serverul proxy UserGate, acționează ca filtre: interceptarea datelor transmise prin protocoalele HTTP și FTP. Suportul pentru protocoalele de e-mail POP3 și SMTP este implementat la nivel superior. Acest lucru vă permite să utilizați antivirusul încorporat pentru a scana traficul de e-mail. Dacă scrisoarea conține un fișier atașat cu un virus, serverul proxy UserGate va șterge atașamentul și va anunța utilizatorul despre acest lucru prin modificarea textului scrisorii. Toate fișierele infectate sau suspecte din scrisori sunt plasate într-un folder special din director UserGate.
      Administrator UserGate poate alege dacă să folosească un singur modul antivirus sau ambele în același timp. În acest din urmă caz, puteți specifica ordinea în care este scanat fiecare tip de trafic. De exemplu, traficul HTTP va fi mai întâi scanat de un antivirus de la Kaspersky Lab, apoi de un modul de la Panda Software
    • Suport pentru protocolul de e-mail
      POP3 – și SMTP – proxy în UserGate poate funcționa cu sau fără un driver NAT. Când lucrați fără driver, contul din clientul de e-mail din partea utilizatorului este configurat într-un mod special. Când lucrați folosind un driver (lucruți ca proxy în modul transparent), configurarea e-mailului din partea utilizatorului se realizează în același mod ca și în cazul accesului direct la Internet. În viitor, suportul pentru protocoalele POP3 și SMTP la nivel superior va fi folosit pentru a crea un modul antispam.

    Administrare folosind serverul proxy UserGate

    • Regulile rețelei
      Într-un server proxy UserGate A fost implementat suport pentru NAT (Network Address Translation) și tehnologia de mapare a porturilor. Tehnologia NAT este folosită pentru a crea proxy-uri transparente și acceptă alte protocoale decât HTTP sau FTP.
      Un proxy transparent permite utilizatorilor să lucreze fără setări speciale, iar administratorii sunt eliberați de nevoia de a configura manual browserele utilizatorilor.
    • Modul suplimentar Usergate Cache Explorer conceput pentru a vizualiza conținutul memoriei cache. Lucrul cu această funcție este simplu: trebuie doar să specificați locația fișierului ug_cache.lst din folderul cache atunci când îl porniți. După citirea conținutului acestui fișier Usergate Cache Explorer va afișa o listă de resurse stocate în cache. Panoul de control Cache Explorer are mai multe butoane care vă permit să filtrați conținutul cache după dimensiune, extensie etc. Datele filtrate pot fi salvate într-un folder de pe hard disk pentru un studiu mai atent.
    • Funcția de atribuire a portului(Mapping port) vă permite să legați orice port selectat al uneia dintre interfețele IP locale la portul dorit al gazdei de la distanță. Atribuțiile de porturi sunt folosite pentru a organiza funcționarea aplicațiilor bancă-client, a jocurilor și a altor programe care necesită transmiterea pachetelor către o anumită adresă IP. Dacă aveți nevoie de acces de pe Internet la o anumită resursă de rețea, acest lucru poate fi realizat și folosind funcția de alocare a portului.
    • Gestionarea traficului: controlați și luați în considerare traficul din rețea
      Funcția „Managementul traficului” este concepută pentru a crea reguli care controlează accesul utilizatorilor rețelei locale la Internet, pentru a crea și modifica tarifele utilizate UserGate.
      Atenție: driverul NAT încorporat în serverul proxy UserGate, oferă cea mai precisă contabilizare a traficului pe Internet.
      Într-un server proxy UserGate Este posibil să se separe diferite tipuri de trafic, de exemplu, traficul de internet local și străin. De asemenea, monitorizează traficul, adresele IP ale utilizatorilor activi, conectările acestora și adresele URL vizitate în timp real.
    • Administrare de la distanță permite administratorului de sistem să fie mobil, deoarece acum este posibil să se administreze serverul proxy UserGate de la distanță.
    • Trimitere automată și manuală utilizatorilor informații despre traficul lor prin e-mail, inclusiv prin servere cu autorizație SMTP.
    • Conexiune la proxy în cascadă cu posibilitate de autorizare.
    • Generator de rapoarte flexibil cu posibilitatea de a exporta în MS Excel și HTML.
    • Diferite moduri de a autoriza utilizatorii: conform tuturor protocoalelor; prin adresa IP, prin IP+MAC, IP+MAC (abonament); prin nume de utilizator și parolă; folosind autorizarea Windows și Active Directory.
    • Importul utilizatorilor din Active Directory- acum nu trebuie să creați manual câteva sute de utilizatori, programul va face totul pentru dvs.
    • Planificator de sarcini vă permite să efectuați una dintre acțiunile predefinite la un moment specificat: trimiteți statistici, lansați un program, stabiliți sau întrerupeți o conexiune dial-up, actualizați bazele de date antivirus.
    • UserGate suportă următoarele protocoale:
      • HTTP (cache-uri);
      • FTP (cache-uri);
      • Socks4, Socks5;
      • POP3;
      • SMTP;
      • Orice protocol UDP/TCP prin NAT (Network Address Translation) și prin atribuirea de porturi.

    Economisiți bani utilizând Internetul

    Folosind filtre încorporate UserGate blochează încărcarea reclamelor de pe Internet și interzice accesul la resurse nedorite.

    Atenție: administratorul poate interzice descărcarea fișierelor cu o anumită extensie, de exemplu jpeg, mp3.

    De asemenea, programul poate reține (cache) toate paginile și imaginile vizitate, eliberând canalul pentru descărcarea de informații utile. Toate acestea reduc semnificativ nu numai traficul, ci și timpul petrecut pe linie.

    Server proxy UserGate: contabilizarea traficului de rețea!