Soluții standard pentru organizarea accesului la Internet pentru organizațiile mici
Portalul școlii acceptă gestionarea accesului la Internet.
Managementul se realizează prin integrare cu serverul proxy Squid.
Pentru a schimba drepturile de acces, accesați meniul: Serviciu → Acces la internet....
Această acțiune este disponibilă doar reprezentanților administrației școlii.
Pentru a oferi acces la Internet, trebuie doar să bifați caseta de lângă numele de utilizator (elev, profesor) sau întreaga clasă. Pentru a revoca accesul, trebuie să debifați caseta. Modificările se aplică după ce faceți clic pe butonul „Salvare”.
Pentru ca o mașină din rețeaua locală să acceseze Internetul, ghidată de permisiunea configurată în Portal, trebuie să o configurați pentru a utiliza un server proxy.
Adresa serverului proxy este adresa serverului școlii dvs. din rețeaua locală în care este instalat portalul școlii. Port proxy - 3128 .
Atunci când un utilizator accesează Internetul printr-un server proxy, vor fi necesare o autentificare și o parolă de pe portalul școlii.
Pentru a preveni în mod fiabil accesul la Internet ocolind serverul proxy, merită să verificați dacă serverul școlii nu oferă rutare Internet către mașinile de interes și, de asemenea, că mașinile nu au acces printr-un comutator, modem, router, Wi-Fi. Fi și alte echipamente ale instituției de învățământ, la care personalul și studenții au acces la rețea.
Sisteme de filtrare a conținutului (SCF)
Sunt acceptate atât absența SCF, cât și integrarea cu mai mulți furnizori.
Setarea SCF este situată în coloana din stânga a paginii de gestionare a accesului la Internet.
Unele SCF necesită înregistrare pentru a gestiona liste de resurse interzise (de exemplu, rețele sociale, materiale obscene, colecții de rezumate etc.). Astfel de setări sunt modificate în interfețele web de pe site-ul SCF în sine, și nu în Portal. Asistența utilizatorilor cu privire la problemele legate de calitatea filtrării este oferită de organizația care deservește SCF. Portalul vă permite doar să activați sau să dezactivați trimiterea de interogări către serverele SCF DNS de pe serverul proxy al școlii și nimic mai mult.
SCF, similar cu accesul la Internet, se aplică numai mașinilor care sunt configurate strict prin serverul proxy al școlii.
Important! Funcționarea SCF după pornire trebuie verificată conform așteptărilor dumneavoastră, deoarece Portalul nu poate verifica automat acest lucru pentru dvs. Termenii și condițiile pentru furnizarea SCF pot fi modificate de producătorii acestora în orice moment. Merită să vă abonați la știri de la serviciul pe care îl utilizați.
Ce trebuie să faceți dacă Portalul afișează mesajul „Funcție dezactivată” sau ceva nu funcționează.
Verificările și acțiunile din această parte a articolului sunt date numai pentru Ubuntu Server 10.04 LTS:
Toate acțiunile trebuie efectuate ca utilizator root.
1. Este instalat calmarul?
Dpkg -s squid3 | versiunea grep -i
Dacă nu, instalați:
Apt-get install squid3
2. Acești parametri sunt în fișierul de configurare Portal?
Auth = htpasswd de bază = /var/www/sp_htpasswd sp_users_allowed = /var/www/sp_users_allowed
Dacă nu, adăugați și rulați
Pkill rapid
3. Squid aleargă? Ascultați pe portul 3128?
Examinare:
Netstat -ntlp | grep 3128
Răspunsul ar trebui să fie cam așa (1234 este un exemplu, este posibil să aveți un număr de proces diferit):
Tcp 0 0 0.0.0.0:3128 0.0.0.0:* ASCULTĂ 1234/(calamar)
Cum să începeți calmarul:
/etc/init.d/squid3 start
* Pornirea Squid HTTP Proxy 3.0 squid3
4. Setați Squid la pornire automată:
Activare Update-rc.d squid3
5. Creați, dacă nu, și setați drepturi de acces la fișierele de servicii responsabile cu gestionarea de către Portal:
Atingeți /var/www/sp_htpasswd /var/www/sp_users_allowed chown www-data.proxy /var/www/sp_htpasswd /var/www/sp_users_allowed chmod 660 /var/www/sp_htpasswd /var/www/sp_users_allowed
6. Fișierul de configurare Squid din cutie nu este pregătit pentru integrare, trebuie corectat.
În primul rând, asigurați-vă că NU ARE integrare cu portal (patch-urile multiple nu sunt acceptabile):
Grep „Control Internet Portalul școlii” /etc/squid3/squid.conf
Dacă linia de comandă de mai sus este scoasă, atunci acest pas ar trebui sărit.
Cu toate acestea, dacă fișierul de configurare a fost modificat astfel încât linia să fie acolo și integrarea nu funcționează, luați fișierul de configurare original de la Squid și efectuați acest pas pe el.
Deci, dacă nu există nicio linie:
6.1. Eliminarea regulilor care împiedică integrarea și schimbarea paginilor de eroare în versiuni rusești:
Perl -i-original -p -e "s!^http_access deny all$!#http_access deny all!; s!^# error_directory /usr/share/squid3/errors/templates$!error_directory /usr/share/squid-langpack /ru!;" /etc/squid3/squid.conf
6.2. Adăugarea unui fragment de integrare:
Echo " # ============================= # School Portal Internet Control # Pentru a dezactiva înlocuiți /etc/squid3/squid.conf cu /etc/squid3/squid.conf-original # ======================================= ==== program de bază auth_param /usr/lib/ squid3/ncsa_auth /var/www/sp_htpasswd copii de bază auth_param 5 tărâm de bază auth_param Server web de stocare în cache proxy Squid acreditări de bază auth_paramttl 2 ore auth_param de bază sensibil la majuscule pe acl sped_users/ www/sp_users_allowed" http_access permit sp_users_allowed http_access deny all " > > /etc/squid3/squid.conf
Dacă un astfel de bloc apare de mai multe ori în fișierul squid.conf, eliminați duplicatele, chiar dacă totul funcționează. Cu repetare, de fiecare dată când lista de admitere este actualizată de pe portal, Squid va turna avertismente în jurnalul său despre redefinirea regulilor.
6.3. După efectuarea modificărilor, Squid trebuie repornit.
/etc/init.d/squid3 reporniți
7. Apoi, utilizați interfața web a portalului școlii pentru a distribui accesul la Internet. Ar trebui să vedeți o modificare a listei de autentificări permise ale utilizatorilor portalului în fișierul /var/www/sp_users_allowed după ce faceți clic pe butonul „Aplicați” din interfața web a portalului.
Jurnalele de acces Squid (/var/log/squid3) vor conține autentificări ale utilizatorilor portalului. Puteți utiliza orice analizoare de jurnal care sunt compatibile cu formatul de jurnal Squid. Integrarea cu Portalul nu încalcă formatul implicit al jurnalelor; diferența este prezența autentificărilor din portal în locul în care ar exista o liniuță în absența autorizației utilizatorului.
8. Verificați dacă firewall-ul de pe serverul școlii și de pe mașinile client blochează conexiunile. În mod implicit, pe un server Ubuntu curat, firewall-ul permite toate conexiunile; dacă ați interferat cu configurația acestuia prin orice mijloace, asigurați-vă că sunt permise conexiunile din rețeaua locală a școlii la portul 3128 al serverului și conexiunile de ieșire de la server.
Administratorul distribuie resurse de internet pentru angajații companiei, creând liste cu nume de domenii interzise sau permise, adrese IP etc. În același timp, el poate stabili restricții privind timpul sau volumul de trafic. În caz de cheltuire excesivă, accesul la Internet este închis automat.
Atenție: administratorul poate oferi întotdeauna managementului un raport privind utilizarea rețelei de către fiecare angajat.
- Sistem flexibil de reguli pentru controlul accesului la Internet:
- restricții privind timpul de funcționare, asupra volumului de trafic trimis/primit (contabilitatea traficului) pe zi și/sau săptămână și/sau lună, asupra volumului de timp folosit pe zi și/sau săptămână și/sau lună;
- filtre care controlează accesul utilizatorilor la resurse nedorite (sexuale, site-uri de jocuri);
- sistem dezvoltat restricții de traficȘi viteza de acces pentru fiecare utilizator. În caz de trafic excesiv, accesul la Internet se închide automat;
- liste de nume de domenii interzise sau permise, adrese IP, părți din șirul URL, accesul la care este interzis/permis de administrator;
- capacitatea de a seta o serie de adrese IP permise și interzise;
- programul orar al lucrului utilizatorului pe Internet;
- filtre care vă permit să configurați „tăierea bannerului” foarte eficientă.
- Numărarea și vizualizarea statisticilor activitatea utilizatorului în funcție de diferiți parametri (zile, site-uri) pentru un interval de timp arbitrar. Vizualizarea statisticilor de pe Internet privind activitatea utilizatorilor pentru luna curentă prin HTTP este posibilă numai pentru utilizatorii din rețeaua locală.
- Sistem de facturare încorporat calculează automat costul muncii unui utilizator pe Internet pe baza prețului, timpului și/sau volumului de trafic. Puteți seta tarife pentru fiecare utilizator individual sau pentru un grup de utilizatori. Este posibilă schimbarea tarifelor în funcție de ora din zi, ziua săptămânii sau adresa site-ului.
Securitatea informațiilor de birou
- Suport VPN O rețea privată virtuală este o combinație de mașini individuale sau rețele locale dintr-o rețea, a cărei securitate este asigurată de un mecanism de criptare a datelor și autentificare a utilizatorilor.
- Firewall încorporat previne accesul neautorizat la datele serverului și rețelei locale prin interzicerea conexiunilor pe anumite porturi și protocoale. Funcționalitatea firewall controlează accesul la porturile necesare, de exemplu, pentru a publica serverul web al unei companii pe Internet.
- Kaspersky Antivirus și Panda integrat în serverul proxy UserGate, acționează ca filtre: interceptarea datelor transmise prin protocoalele HTTP și FTP. Suportul pentru protocoalele de e-mail POP3 și SMTP este implementat la nivel superior. Acest lucru vă permite să utilizați antivirusul încorporat pentru a scana traficul de e-mail. Dacă scrisoarea conține un fișier atașat cu un virus, serverul proxy UserGate va șterge atașamentul și va anunța utilizatorul despre acest lucru prin modificarea textului scrisorii. Toate fișierele infectate sau suspecte din scrisori sunt plasate într-un folder special din director UserGate.
Administrator UserGate poate alege dacă să folosească un singur modul antivirus sau ambele în același timp. În acest din urmă caz, puteți specifica ordinea în care este scanat fiecare tip de trafic. De exemplu, traficul HTTP va fi mai întâi scanat de un antivirus de la Kaspersky Lab, apoi de un modul de la Panda Software - Suport pentru protocolul de e-mail
POP3 – și SMTP – proxy în UserGate poate funcționa cu sau fără un driver NAT. Când lucrați fără driver, contul din clientul de e-mail din partea utilizatorului este configurat într-un mod special. Când lucrați folosind un driver (lucruți ca proxy în modul transparent), configurarea e-mailului din partea utilizatorului se realizează în același mod ca și în cazul accesului direct la Internet. În viitor, suportul pentru protocoalele POP3 și SMTP la nivel superior va fi folosit pentru a crea un modul antispam.
Administrare folosind serverul proxy UserGate
- Regulile rețelei
Într-un server proxy UserGate A fost implementat suport pentru NAT (Network Address Translation) și tehnologia de mapare a portului. Tehnologia NAT este folosită pentru a crea proxy-uri transparente și acceptă alte protocoale decât HTTP sau FTP.
Un proxy transparent permite utilizatorilor să lucreze fără setări speciale, iar administratorii sunt eliberați de nevoia de a configura manual browserele utilizatorilor. - Modul suplimentar Usergate Cache Explorer conceput pentru a vizualiza conținutul memoriei cache. Lucrul cu această funcție este simplu: trebuie doar să specificați locația fișierului ug_cache.lst din folderul cache atunci când îl porniți. După citirea conținutului acestui fișier Usergate Cache Explorer va afișa o listă de resurse stocate în cache. Panoul de control Cache Explorer are mai multe butoane care vă permit să filtrați conținutul cache după dimensiune, extensie etc. Datele filtrate pot fi salvate într-un folder de pe hard disk pentru un studiu mai atent.
- Funcția de atribuire a portului(Mapping port) vă permite să legați orice port selectat al uneia dintre interfețele IP locale la portul dorit al gazdei de la distanță. Atribuțiile de porturi sunt folosite pentru a organiza funcționarea aplicațiilor bancă-client, a jocurilor și a altor programe care necesită transmiterea pachetelor către o anumită adresă IP. Dacă aveți nevoie de acces de pe Internet la o anumită resursă de rețea, acest lucru poate fi realizat și folosind funcția de alocare a portului.
- Gestionarea traficului: controlați și luați în considerare traficul din rețea
Funcția „Managementul traficului” este concepută pentru a crea reguli care controlează accesul utilizatorilor rețelei locale la Internet, pentru a crea și modifica tarifele utilizate UserGate.
Atenție: driverul NAT încorporat în serverul proxy UserGate, oferă cea mai precisă contabilizare a traficului pe Internet.
Într-un server proxy UserGate Este posibil să se separe diferite tipuri de trafic, de exemplu, traficul de internet local și străin. De asemenea, monitorizează traficul, adresele IP ale utilizatorilor activi, conectările acestora și adresele URL vizitate în timp real. - Administrare de la distanță permite administratorului de sistem să fie mobil, deoarece acum este posibil să se administreze serverul proxy UserGate de la distanță.
- Trimitere automată și manuală utilizatorilor informații despre traficul lor prin e-mail, inclusiv prin servere cu autorizație SMTP.
- Conexiune la proxy în cascadă cu posibilitate de autorizare.
- Generator de rapoarte flexibil cu posibilitatea de a exporta în MS Excel și HTML.
- Diferite moduri de a autoriza utilizatorii: conform tuturor protocoalelor; prin adresa IP, prin IP+MAC, IP+MAC (abonament); prin nume de utilizator și parolă; folosind autorizarea Windows și Active Directory.
- Importul utilizatorilor din Active Directory- acum nu trebuie să creați manual câteva sute de utilizatori, programul va face totul pentru dvs.
- Planificator de sarcini vă permite să efectuați una dintre acțiunile predefinite la un moment specificat: trimiteți statistici, lansați un program, stabiliți sau întrerupeți o conexiune dial-up, actualizați bazele de date antivirus.
- UserGate suportă următoarele protocoale:
- HTTP (cache-uri);
- FTP (cache-uri);
- Socks4, Socks5;
- POP3;
- SMTP;
- Orice protocol UDP/TCP prin NAT (Network Address Translation) și prin atribuirea de porturi.
Economisiți bani utilizând Internetul
Folosind filtre încorporate UserGate blochează încărcarea reclamelor de pe Internet și interzice accesul la resurse nedorite.
Atenție: administratorul poate interzice descărcarea fișierelor cu o anumită extensie, de exemplu jpeg, mp3.
De asemenea, programul poate reține (cache) toate paginile și imaginile vizitate, eliberând canalul pentru descărcarea de informații utile. Toate acestea reduc semnificativ nu numai traficul, ci și timpul petrecut pe linie.
Server proxy UserGate: contabilizarea traficului de rețea!
Înainte de a discuta despre autentificarea utilizatorilor rețelei, este necesar să se elaboreze reguli pentru controlul accesului la rețea. Rețelele nu mai sunt entități monolitice. În cele mai multe cazuri, există un punct de acces extern - o conexiune la Internet printr-un ISP ( Furnizor de servicii de internet- Furnizor de servicii de internet). Regulile de control al accesului la rețea vor determina ce securitate trebuie instalată la punctele de intrare în rețea.
Gateway-uri
Gateway-uri sunt punctele în care traficul de rețea este transferat din rețeaua unei organizații în altă rețea. Pentru punctele gateway, regulile de control al accesului trebuie să țină cont de natura rețelei pe care este instalat podul.
- Reguli de control al accesului pentru apelurile telefonice primite și ieșite (Dial-in și Dial-out). Acoperă cerințele de autentificare. Ascunderea unui punct de acces la rețeaua telefonică este destul de dificilă. Prin urmare, este important să se definească controale pentru acest acces. Există multe considerații cu privire la regulile de acces, cum ar fi crearea de modemuri exclusiv pentru a gestiona semnalele de ieșire ( numai în ieșire) pentru acces prin apel telefonic. Este necesar să scrieți o clauză de regulă care să prescrie utilizarea controalelor adecvate.
Toate accesul telefonic la rețea trebuie securizat folosind controale puternice de autentificare. Modemurile trebuie să fie configurate fie pentru acces prin dial-in sau dial-out, dar niciodată pentru ambele. Administratorul de rețea trebuie să ofere proceduri pentru garantarea accesului la sistemele modem. Utilizatorii nu ar trebui să instaleze modemuri în alte puncte ale rețelei fără sancțiuni corespunzătoare.
- Alte conexiuni externe. Sunt posibile diverse conexiuni la rețea din afara organizației. Regulile pot prevedea accesul direct al clienților la rețea printr-o rețea privată virtuală VPN(Virtual Private Network) și prin extensii ale rețelei unei organizații cunoscute sub numele de extranet.
- conexiune internet. Diferă de alte conexiuni deoarece oamenii doresc să aibă acces deschis la Internet, în timp ce permisiunea de acces este oferită de serviciile organizației. Regulile care guvernează aceste conexiuni sunt discutate în Capitolul 6, Reguli de securitate pe internet.
Ca și în cazul oricărei reguli, ar trebui să vă așteptați să apară cereri de modificare a regulilor de control al accesului. Indiferent de motivele pentru care regulile trebuie ajustate, ar trebui să se poată face excepții de la reguli printr-un mecanism de revizuire a regulilor. Dacă politica a înființat un comitet de management al securității (a se vedea capitolul 3, Responsabilitățile de securitate a informațiilor), comitetului i se poate solicita să revizuiască regulile.
Orice gateway propus pentru instalare într-o rețea a companiei care poate încălca regulile sau procedurile prescrise de acele reguli nu trebuie instalată fără aprobarea prealabilă a comitetului de management al securității.
Rețele private virtuale și extranet
O creștere a numărului de rețele dintr-o organizație ne obligă să căutăm noi opțiuni pentru conectarea birourilor la distanță, clienții și simplificarea accesului pentru contrapartidele de servicii sau potențialele contrapărți. Această creștere a dat naștere la două tipuri de conexiuni externe: rețele private virtuale ( VPN- Virtual Private Network) și extranet-uri. VPN-urile sunt o modalitate ieftină de a stabili comunicații de informații între două sau mai multe unități organizaționale situate în teritorii diferite. Organizațiile creează un VPN conectând toate departamentele la Internet și instalând dispozitive care vor cripta și decripta informațiile în ambele departamente care comunică între ele. Pentru utilizatori, lucrul printr-un VPN va arăta ca și cum ambele departamente sunt situate pe același teritoriu și lucrează într-o singură rețea.
Verificarea autoritatii sistemelor auxiliare
Înainte de a continua, este important să ne amintim că fiecare dintre gateway-uri sau sisteme suport este un punct de intrare în rețeaua unei organizații. În orice punct de intrare, autoritatea fluxului de date care intră și iese din rețea trebuie verificată într-un fel. O problemă care trebuie luată în considerare este cerința de a autoriza conexiunile externe la sistemele de suport de rețea. Aceasta poate fi o problemă pentru sistemele auxiliare care sunt conectate în mod constant la rețea. Pentru astfel de sisteme de suport, este necesar să se determine modul în care va fi autorizată prezența lor în rețea. De fapt, chiar și conexiunile temporare de rețea, cum ar fi conexiunile de modem de intrare, pot avea cerințe stricte de autentificare.
Cerințele de autentificare nu ar trebui descrise în această secțiune a regulii - ele sunt discutate în secțiunea următoare, „Securitate autentificare”. Aici putem observa doar necesitatea cerințelor de autentificare. Regulile privind standardele de autentificare vor fi discutate în secțiunea următoare. Cu toate acestea, pentru a se asigura că problema autentificării este abordată pentru sistemele secundare, următoarele pot fi adăugate la clauza regulilor firewall.
Aplicațiile necesare pentru funcționarea gateway-urilor trebuie să fie autentificate de rețea. Dacă aplicația în sine nu poate fi autentificată, atunci regulile de autentificare descrise în acest document trebuie să se aplice sistemelor suport conectate prin gateway-uri.
Intrări: 4Controlul accesului la internet de la distanță (control parental)
Acest ghid descrie procesul de configurare a computerelor care rulează sisteme de operare Windows XP, 7 sau Linux (Ubuntu) pentru a controla de la distanță accesul la site-urile Internet.
Manualul nu descrie în detaliu modul de lucru cu serviciul Rejector, care va fi discutat mai jos, vă permite doar să vă configurați computerul în așa fel încât să profitați din plin de capacitățile acestuia.
Toate instrumentele utilizate sunt software gratuite sau open source.
Introducere
Internetul este un instrument excelent pentru a studia, a se relaxa sau a comunica cu prietenii. Dar, pe lângă informațiile utile de pe Internet, există și informații nedorite pentru copilul tău. În plus, navigarea pe internet timp de multe ore vă poate distrage atenția de la alte activități importante, cum ar fi temele, sportul, somnul sau socializarea cu semenii. Prin urmare, este necesar să monitorizați activitățile online ale copilului.
Există multe metode de control diferite, dar nu sunt întotdeauna eficiente. Persuasiunea și conversațiile educaționale pot funcționa pentru o perioadă foarte scurtă de timp, deoarece a fi pe internet poate captiva atât de mult un copil, încât uită de toată persuasiunea. Și interdicțiile pot afecta negativ dezvoltarea abilităților utile pentru căutare și învățare pe Internet.
În astfel de cazuri, programele speciale pentru restricționarea și controlul accesului la rețea vă vor ajuta. Cu ajutorul lor, îți poți proteja copilul de influențele negative ale internetului, dar, în același timp, oferi libertatea de acțiune. Un astfel de instrument este Rejector Internet Access Control System.
Rejector este un proiect centralizat pentru controlul accesului la Internet. Vă va permite să protejați copiii și adolescenții de informații periculoase. În esență, Rejector este un server DNS cu capacitatea de a-l controla de la distanță.
Cum functioneaza?
Vă înregistrați, adăugați IP-ul dvs., configurați setările de acces. Puteți utiliza serviciul fără înregistrare, dar apoi nu veți putea folosi toate caracteristicile acestuia.
Calculatoarele dumneavoastră sunt configurate astfel încât toate solicitările DNS să fie trimise către serverele DNS Rejector 95.154.128.32 și 176.9.118.232.
Fiecare solicitare este verificată în funcție de setările dvs., cum ar fi categorii sau site-uri blocate, site-uri permise sau blocate, liste de marcaje sau site-uri înșelătorie, iar dacă este blocată, solicitarea este redirecționată către pagina de blocare.
Puteți personaliza această pagină după cum doriți.
Solicitările permise care trec verificarea intră în memoria cache a cererilor generale pentru livrare rapidă către toți clienții.
O descriere mai detaliată a produsului Rejector poate fi găsită pe site-ul oficial rejector.ru
Instrucțiuni pentru configurarea sistemului
1. Creați un utilizator cu drepturi normale
De obicei, la instalarea unui sistem de operare, este creat un utilizator cu drepturi de administrator. Un astfel de utilizator poate efectua toate acțiunile posibile oferite de sistemul de operare, inclusiv ștergerea sistemului în sine.
Pentru a exclude reversibilitatea tuturor acțiunilor noastre ulterioare din partea utilizatorului asupra căruia preluăm controlul, vom crea un utilizator cu drepturi limitate și vom folosi o parolă pentru Administrator.
Pe Windows, acest lucru se face prin Panoul de control; Pe Linux, crearea utilizatorilor este disponibilă prin Setări de sistem.
2. Configurați o conexiune la rețea
Rejector este un serviciu care este în esență un server DNS. Pentru a lucra cu acesta, trebuie mai întâi să configurați conexiunea la rețea, astfel încât cererile DNS să fie trimise către serverele DNS Rejector 95.154.128.32 și 176.9.118.232.
Acest lucru se face diferit pe Windows și Linux.
Windows XP
Windows Vista
Instrucțiuni detaliate se găsesc la
Windows 7
Instrucțiuni detaliate se găsesc la
Majoritatea sistemelor de operare Linux folosesc programul Network Manager pentru a configura rețeaua. Pentru a schimba serverul DNS, procedați în felul următor:
Faceți clic dreapta pe indicatorul de conexiune și, în meniul contextual, selectați elementul Schimbați conexiunea
Dacă utilizați un server DHCP atunci când vă conectați la Internet, atunci în parametrii IPv4 schimbăm Metoda de setare pe Automat (DHCP, numai adresa)
În câmp Servere DNS introduceți două adrese separate prin virgule 95.154.128.32, 176.9.118.232
Realizarea unei conexiuni Disponibil pentru toți utilizatoriiȘi Conectat automat
3. Înregistrați-vă pe site-ul Rejector
În principiu, de aici am putea începe. Dar acum că una dintre dificultăți a trecut în urmă, facem acest lucru ușor și simplu. Urmați linkul și completați un formular simplu de înregistrare.
4. Adăugați o rețea gestionată
Înregistrându-ne pe serviciu, putem crea numărul necesar de rețele sau, care, în principiu, este același lucru - clienți pe care îi vom gestiona. Rețelele (Clienții) sunt identificate în serviciu prin adresa lor IP. Prin urmare, pentru a controla accesul la Internet al unui computer, trebuie să cunoașteți adresa IP a acestuia. Deocamdată, să creăm o rețea prin Panoul de control de pe site-ul Rejector la.
Completați formularul Adăugați rețea. Numele retelei - aici poți indica numele copilului tău dacă are propriul computer și vrei să-l controlezi. stare- cel mai probabil, veți avea o adresă IP dinamică (furnizorii rari alocă gratuit o adresă statică pentru clienții lor), așa că selectăm acest comutator. ID-ul rețelei- puteți scrie în latină numele pe care l-ați specificat în primul câmp.
5. Trimitere adresa IP
Pentru ca serviciul să funcționeze, trebuie să „știe” în mod constant adresa IP a clientului, care se poate schimba de la conexiune la conexiune (adresă IP dinamică). Aceasta este principala problemă pe care o abordează acest ghid.
Înșiși dezvoltatorii de servicii oferă programul Rejector Agent, care trimite adresa IP a clientului către server. Dar, acest program nu poate funcționa autonom. Prin urmare, vom profita de cealaltă oportunitate oferită. Și anume, actualizarea folosind o cerere HTTP (descrierea la link).
Pentru a actualiza informațiile despre client printr-o solicitare HTTP în fundal, avem nevoie de programul Curl. Acest program este capabil să trimită versiuni HTTP pe Internet prin linia de comandă. Vom seta parametrii acestui program în script; pentru Windows acesta va fi un fișier bash pentru Linux - sh.
Curl este disponibil gratuit și are o versiune Windows, așa că o vom folosi în ambele medii. Pentru Windows, cea mai recentă versiune a programului poate fi descărcată de pe acest link. Pentru a instala, trebuie doar să despachetați conținutul arhivei rezultate în folderul C:\WINDOWS\SYSTEM32 (acest lucru va ușura lansarea programului). Într-un sistem de operare Linux, cel mai probabil va fi deja instalat.
6. Script pentru actualizarea regulată a adresei IP
Site-ul oferă următoarea solicitare HTTP http://nume utilizator: [email protected]/ni...,
care va actualiza valoarea adresei IP. Îl vom înlocui ca parametru pentru programul curl.
Solicitarea de actualizare a adresei trebuie trimisă de pe computerul pe care dorim să-l controlăm. Datorită faptului că terminalul text procesează comenzile într-un mod special, textul solicitării a trebuit să fie ușor modificat. Textul scriptului pentru Windows și Linux este prezentat mai jos.
Pentru Windows
:buclă
curl "http:// autentificare%%40mail-server.com:parola@updates.rejector.ru/nic/update?hostname= nume-net"
# Faceți o întârziere de 300 de secunde
ping -n 300 127.0.0.1 > NUL
ecou 111
du-te în buclă
Unde login%%40mail-server.com este căsuța poștală cu care v-ați înregistrat pe Rejector (semnul @ este înlocuit cu %%40); parola - parola; net-name este numele rețelei din serviciul Rejector.Plasați textul scriptului într-un fișier text obișnuit, înlocuiți extensia cu .bat și veți obține un script executabil.
Pentru Linux
#! /usr/bin/sh
în timp ce adevărat; face curl -u [email protected]:parolă "http://updates.rejector.ru/nic/update?hostname=... sleep 300; gata;
Totul aici este similar cu intrarea pentru Windows. Scrieți acest text într-un fișier text cu extensia sh.
Ambele scripturi conțin parola contului Rejector în text clar, așa că este necesar să le ascundeți conținutul vizual pentru utilizatorul obișnuit. Acest lucru este implementat diferit în Linux și Windows
Pentru a interzice vizualizarea și editarea acestui fișier creat de noi, este necesar să schimbați proprietarul și grupul fișierului la root și să interziceți tuturor, cu excepția proprietarului, accesul la fișier. Dacă aveți abilități de linie de comandă, atunci trebuie să utilizați comanda CDîn directorul cu fișierul script și executați comanda chown root:root skcryptt.shȘi chmod 700 script.sh.,Pentru a face același lucru în shell-ul grafic, trebuie mai întâi să lansați managerul de fișiere cu drepturi de administrator, să găsiți fișierul script și să schimbați drepturi, folosind meniul contextual.
Fără a intra în modul în care puteți schimba drepturile de acces la fișiere similare cu Linux, am aplicat următoarea soluție. Să convertim fișierul nostru executabil într-un fișier EXE pentru a-i ascunde conținutul. În acest scop vom folosi un program gratuit Convertor Bat To Exe. Vă sugerez să descărcați versiunea sa rusificată de pe link sau de pe site-ul oficial al programului. Programul nu necesită nicio explicație în funcționare. La intrare punem fișierul bat, la ieșire obținem un fișier exe.
7. Setați-l să pornească automat
Ultimul pas rămâne de făcut. Să facem ca programul să pornească automat când sistemul pornește. Acest lucru se face diferit în Linux și Windows.
Ne conectăm ca administrator și mutăm fișierul nostru executabil.exe în folderul PogramFiles. În directorul principal al utilizatorului, găsiți folderul Meniu principal, în ea Programe, Pornire automată unde plasăm comanda rapidă din programul nostru (acest lucru se poate face trăgând programul însuși în timp ce țineți apăsată tasta Shift). Gata.
Puneți fișierul executabil în folder /usr/bin. Să edităm fișierul pentru lansarea aplicațiilor de sistem local /etc/rc.local, adăugând o linie înainte iesirea 0.
/usr/bin/script.sh
Unde script.sh- numele dosarului nostru.
Aceasta completează configurarea sistemului. Puteți merge la serviciul Rejector și puteți configura modul de funcționare a rețelei.
Pavlov Sergey Inginer de sistem la Softmart
Acest articol prezintă cele mai populare modalități de a conecta biroul unei organizații mici la Internet. Articolul nu abordează problemele legate de alegerea unui furnizor și problemele de alegere a echipamentului final pentru conectarea la rețea. Presupunem că furnizorul oferă organizației următoarele:
1. Interfață de rețea Ethernet RJ45 - un standard pentru echipamentele de rețea din rețelele locale
2. Adresă IP - una sau mai multe, permanente sau dinamice
3. Adresă IP și DNS ale gateway-ului
Să oferim și un mic portret al organizației căreia îi este destinat acest articol:
1. Numărul de calculatoare din rețea - până la 30;
2. Există un server de fișiere sau un server de sistem de management corporativ în rețea;
3. Serverul Web și serverul de e-mail al organizației sunt găzduite de furnizor și nu în rețeaua locală a întreprinderii;
4. Canalul de internet va fi folosit de angajați în primul rând pentru lucrul cu e-mailul și vizualizarea paginilor Web;
5. Calculatoarele și serverele organizației trebuie să fie protejate împotriva accesului neautorizat prin Internet;
Pot fi menționate și condiții posibile, dar rar întâlnite:
1. Conectarea securizată a angajaților la rețeaua organizației de la distanță - de acasă sau alt birou;
2. Conectarea securizată a birourilor mici situate geografic;
3. Plasarea unui server Web, server de mail, server al oricărui sistem intern de management din cadrul rețelei organizației, oferind acces gratuit la acestea pentru angajați sau clienți prin Internet;
Cu această abordare, un computer personal sau un server este alocat pentru a organiza accesul la Internet. Serverul sau PC-ul este echipat cu o placă de rețea suplimentară. Unul dintre ei se conectează la rețeaua furnizorului, celălalt la comutatorul de rețea al organizației.
Este recomandabil să rulați serviciul NAT pe gateway - traducerea în rețea a adreselor IP.
Avantajele acestei soluții:
1. Abilitatea de a utiliza o gamă largă de software pentru a rezolva o varietate de probleme, de exemplu:
pentru a proteja serverul și rețeaua de atacurile de pe Internet;
pentru protecția antivirus a serverului, traficului sau e-mailului;
pentru a proteja împotriva spamului;
pentru contorizarea traficului;
să gestioneze accesul la Internet al angajaților organizației;
2. Este suficientă o singură adresă IP de la furnizor.
3. Prin utilizarea serviciului NAT se asigură un nivel suficient de protecție a rețelei locale împotriva influențelor externe.
4. Costul redus al unui firewall, deoarece sunt permise soluții pentru computere personale.
5. Doar computerul gateway este vizibil de pe Internet, iar hackerii pot ataca doar acest computer. Rețeaua locală, inclusiv serverele și stațiile de lucru, nu le este accesibilă în principiu. Astfel, dacă gateway-ul eșuează, rețeaua locală a organizației continuă să funcționeze.
Defecte
1. Dacă computerul gateway este folosit și ca stație de lucru obișnuită pentru unul dintre angajați, de exemplu, pe baza economiilor de costuri, atunci sunt posibile probleme serioase de securitate. Un utilizator care lucrează la gateway poate, prin acțiunile sale, să slăbească securitatea serverului. În plus, pot apărea probleme cu performanța gateway-ului, deoarece utilizatorul va ocupa o parte din puterea computerului;
2. Nu este recomandat să folosiți gateway-ul ca server de fișiere al unei organizații, din cauza accesibilității serverului de pe Internet. Sunt necesare un firewall puternic (nu unul personal) și munca unui specialist foarte calificat pentru a configura securitatea pe gateway. Cu toate acestea, aceasta este o configurație foarte comună în organizațiile mici;
3. Trebuie achiziționat software suplimentar. Serviciul NAT nu este inclus în alte sisteme de operare Windows decât Microsoft Windows XP (NAT este implementat, dar cu unele limitări). Costul firewall-urilor variază de la zeci de dolari la câteva mii. Cel puțin, este necesar un program special pentru a oferi acces la Internet tuturor utilizatorilor rețelei locale. (programul se numește server proxy).
4. Este necesar un dispozitiv suplimentar - o placă de rețea.
Costul aproximativ al implementării acestei soluții:
|
Computer personal - gateway |
$40 0 |
|
|
Server proxy |
UserGate 3.0 (10 sesiuni) |
$ 129 |
|
Firewall |
Kaspersky AntiHacker |
$39 |
|
Placă de rețea suplimentară |
D-Link DFE-530TX |
$10 |
|
Servicii de personalizare |
Softmart |
$70 |
|
Total |
$648 |
Prin această abordare, pentru a organiza accesul la Internet, este necesar să obțineți un număr suplimentar de adrese IP de la furnizor pentru fiecare computer personal din rețeaua locală a organizației. Această soluție oferă probabil cea mai rapidă conexiune pentru angajații unei organizații la Internet. Cu toate acestea, această soluție este rar utilizată atunci când există mai mult de două computere într-o companie din două motive:
1. Furnizorul este extrem de reticent în a aloca adrese IP și vă va recomanda să treceți la orice altă schemă de conectare a computerelor la Internet.
2. Această soluție este potențial cea mai puțin sigură în ceea ce privește protejarea datelor dumneavoastră împotriva accesului neautorizat și a atacurilor din rețea.
Avantaje:
1. configurare ușoară a computerelor.
2. nu este nevoie să cumpărați un computer suplimentar - un gateway.
3. nu este nevoie să cumpărați software suplimentar - un server proxy.
Defecte:
1. Pe fiecare computer trebuie instalat un sistem de securitate cuprinzător.
2. Depinde de capacitatea furnizorului de a furniza mai multe adrese IP
3. Nu există statistici despre utilizarea canalului
Costul lansării acestei soluții:
Pentru fiecare computer din rețea:
|
Firewall |
Kaspersky AntiHacker |
$39 |
|
Setări |
Softmart |
$10 |
|
Total |
$49 |
Organizarea accesului folosind dispozitive D-LINK
D-Link oferă o gamă largă de dispozitive pentru a conecta în siguranță organizațiile mici la Internet. Toate soluțiile pot fi împărțite în două clase mari:
1. Routere seria DI
2. Firewall-uri din seria DFL
Dispozitivele din familia DI au fost proiectate special pentru scopurile și sarcinile birourilor mici. Au toate funcționalitățile necesare la un preț mai mult decât rezonabil. În funcție de model, dispozitivele pot fi echipate cu:
firewall,
punct de acces Wi-Fi,
server proxy încorporat,
port de rețea pentru conectarea imprimantei,
modem ADSL încorporat
modul VPN
Toate dispozitivele acceptă:
1. DHCP (funcția de atribuire dinamică a adreselor IP computerelor din rețea)
2. NAT (funcția de traducere dinamică a adreselor IP dintr-o rețea internă în adrese IP de pe Internet)
3. Funcția de server virtual, necesară pentru organizarea accesului la serverul local de pe Internet
4. Funcția Secure Zone, necesară pentru organizarea accesului la mai multe resurse locale de pe Internet
Avantaje
3. Preț mic pentru clasa sa.
4. Protecție împotriva atacurilor folosind NAT, + capacitatea de a introduce reguli pentru interzicerea domeniilor, adreselor etc.
7. Capacitatea de a crea conexiuni securizate pe Internet (VPN) pentru comunicarea cu alte birouri.
8. Posibilitatea de organizare a accesului la resursele interne ale rețelei locale.
9. Capacitatea de a sprijini utilizatorii de telefonie mobilă (Wi-Fi).
10. Posibilitate de conectare a unei imprimante de rețea.
Defecte:
2. Există restricții hardware cu privire la numărul de angajați care lucrează simultan. Dispozitivul DI poate gestiona până la 2000 de conexiuni simultane fără o degradare vizibilă a performanței.
3. Echipamentul este sensibil la atacurile din interior, de exemplu, virușii de rețea. Cu astfel de atacuri, sarcina pe dispozitiv crește brusc.
4. Dispozitivul în sine este slab protejat de atacurile tipice de rețea. În acest caz, aceste organizații și computere, de regulă, nu suferă.
5. Statisticile privind utilizarea canalului de către angajați nu sunt suficient de detaliate.
Costul aproximativ al soluției
|
D-Link DI-604 |
D-Link |
|
|
Setări |
Softmart |
|
|
Total |
Dispozitivele familiei DFL sunt deja firewall-uri de înaltă performanță, echipate cu toate soluțiile imaginabile și noi pentru protejarea rețelei locale și a resurselor organizaționale împotriva intruziunilor. În funcție de modelul specific, dispozitivul poate fi echipat, de exemplu, cu:
Sistem de detectare a intruziunilor IDS
sisteme pentru detectarea atacurilor tipice și respingerea lor
sistem de management al lățimii de bandă
sistem de echilibrare a sarcinii
VPN
Trebuie să selectați un model în funcție de numărul de computere din rețea și de cerințele de securitate. Cel mai bine este să contactați un consultant de soluții D-Link pentru asistență.
Avantaje:
1. Soluțiile hardware sunt foarte fiabile, compacte și fără pretenții.
2. Dispozitivele în sine sunt bine protejate de atacurile de pe internet și protejează bine perimetrul rețelei locale a organizației.
3. Protecție împotriva atacurilor de rețea, inclusiv: SYN, ICMP, UDP Flood, WinNuke, scanarea portului, falsificarea, falsificarea adreselor, refuzul serviciului etc.
4. Odată ce sistemul este configurat, acesta nu necesită o reglare suplimentară.
5. Nu există un computer dedicat - gateway.
6. Instalare și configurare ușoară.
7. Preț mic pentru clasa sa.
8. Posibilitatea de a crea conexiuni securizate pe Internet (VPN) pentru comunicarea cu alte sedii.
9. Posibilitatea de organizare a accesului la resursele interne ale rețelei locale.
Defecte:
1. Configurarea trebuie efectuată de un tehnician calificat.
2. Statisticile privind utilizarea canalului de către angajați nu sunt suficient de detaliate.
Costul aproximativ al soluției
D-Link DFL-100 D-Link $200
Setări Softmart Total $230
Concluzie
Cu toată bogăția de alegere, ni se pare că cea mai optimă soluție pentru o organizație mică este totuși o soluție bazată pe unul dintre modelele de dispozitive D-Link din familia DI. Dispozitivele sunt simple, compacte, accesibile și destul de funcționale. Singurul lucru pentru care soluțiile DI pot fi reproșate este lipsa unor capacități ale serverelor proxy, de exemplu, statistici privind volumul de informații descărcate despre angajați. La urma urmei, aceste date sunt, de regulă, folosite de furnizori pentru a factura pentru utilizarea canalului. Dacă această funcție este vitală pentru organizația dvs., atunci ar trebui să luați în considerare și achiziționarea unui server proxy, de exemplu, UserGate de la eSafeLine. Nu uitați că serverul proxy va necesita achiziționarea unui computer suplimentar.
