تحتوي هذه المقالة على نظرة عامة خمسةخيارات لحل مشكلة تنظيم الوصول إلى خدمات شبكة الشركة من الإنترنت. توفر المراجعة تحليلاً لخيارات السلامة والجدوى، مما سيساعد المتخصصين المبتدئين والأكثر خبرة على فهم جوهر المشكلة وتحديث معارفهم وتنظيمها. يمكن استخدام المواد الواردة في المقالة لتبرير قرارات التصميم الخاصة بك.
عند النظر في الخيارات، لنأخذ كمثال الشبكة التي تريد النشر فيها:
يصل المضيفون إلى الإنترنت من خلال NAT، ويتمكنون من الوصول إلى الخدمات من الإنترنت من خلال إعادة توجيه المنفذ.
إيجابيات الخيار:
على سبيل المثال، فكر في شركة خدمة آخر، لخدمة العملاء من داخل الشبكة ومن الإنترنت. يستخدم العملاء من الداخل POP3/SMTP، ويعمل العملاء من الإنترنت من خلال واجهة الويب. عادة، في مرحلة التنفيذ، تختار الشركات أبسط طريقة لنشر الخدمة ووضع جميع مكوناتها على خادم واحد. ثم، والحاجة إلى ضمان أمن المعلومات، يتم تقسيم وظيفة الخدمة إلى أجزاء، ويتم نقل الجزء المسؤول عن خدمة العملاء من الإنترنت (Front-End) إلى خادم منفصلالذي يتفاعل عبر الشبكة مع الخادم الذي ينفذ الوظائف المتبقية (الجهة الخلفية). في هذه الحالة، يتم وضع الواجهة الأمامية في المنطقة المجردة من السلاح، وتبقى الواجهة الخلفية في الجزء الداخلي. للتواصل بين الواجهة الأمامية والخلفية DFWإنشاء قاعدة تسمح ببدء الاتصالات من الواجهة الأمامية إلى الواجهة الخلفية.
مزايا الخيار:
في ظل هذه الظروف، تصبح العديد من الهجمات التي سبق ذكرها متاحة للمخالف، وأخطرها سيكون:
وبالتالي، فإننا نواجه مهمة حماية خوادم الشبكة الداخلية من هجمات الدخيل سواء من المنطقة المجردة من السلاح أو من الشبكة الداخلية (يمكن تفسير إصابة محطة العمل بفيروس طروادة على أنها تصرفات الدخيل من الشبكة الداخلية ).
يهدف النهج المقترح أدناه إلى تقليل عدد القنوات التي يمكن للمتسلل من خلالها مهاجمة الخوادم، وهناك قناتان على الأقل من هذه القنوات. الأول هو القاعدة DFW، مما يسمح بالوصول إلى خادم الشبكة الداخلية من المنطقة المجردة من السلاح (حتى لو كان مقيدًا بعناوين IP)، والثاني هو منفذ شبكة مفتوح على الخادم حيث يُتوقع طلبات الاتصال عليه.
يمكنك إغلاق القنوات المحددة إذا كان خادم الشبكة الداخلية نفسه ينشئ اتصالات بالخادم في المنطقة المجردة من السلاح ويقوم بذلك باستخدام طريقة محمية بالتشفير بروتوكولات الشبكة. ثم لن يكون هناك أي منفذ مفتوح، لا توجد قواعد DFW.
لكن المشكلة هي أن خدمات الخادم العادية لا تعرف كيفية العمل بهذه الطريقة، ولتنفيذ هذا النهج من الضروري استخدام نفق الشبكة، الذي يتم تنفيذه، على سبيل المثال، مع باستخدام SSHأو VPN، وداخل الأنفاق تسمح بالاتصالات من الخادم الموجود في المنطقة المجردة من السلاح إلى خادم الشبكة الداخلية.
المخطط العاميبدو تشغيل هذا الخيار كما يلي:
أظهر استخدام هذا الخيار عمليًا أنه من الملائم إنشاء أنفاق شبكة باستخدام OpenVPN، نظرًا لأنه يتمتع بالخصائص المهمة التالية:
مزايا الخيار:
يقوم المسؤول بتوزيع موارد الإنترنت على موظفي الشركة، وإنشاء قوائم بأسماء النطاقات المحظورة أو المسموح بها، وعناوين IP، وما إلى ذلك. وفي الوقت نفسه، يمكنه وضع قيود على الوقت أو مقدار حركة المرور. في حالة الإفراط في الإنفاق، يتم إغلاق الوصول إلى الإنترنت تلقائيا.
تنبيه: يمكن للمسؤول دائمًا تزويد الإدارة بتقرير حول استخدام الشبكة لكل موظف.
باستخدام المرشحات المضمنة بوابة المستخدميمنع تحميل الإعلانات من الإنترنت ويحظر الوصول إلى الموارد غير المرغوب فيها.
تنبيه: يمكن للمسؤول حظر تنزيل الملفات امتداد محدد، على سبيل المثال JPEG، MP3.
كما يمكن للبرنامج أن يتذكر (ذاكرة التخزين المؤقت) جميع الصفحات والصور التي تمت زيارتها، مما يحرر القناة لتنزيل المعلومات المفيدة. كل هذا لا يقلل بشكل كبير من حركة المرور فحسب، بل يقلل أيضًا من الوقت الذي تقضيه على الخط.
مخدم بروكسيبرنامج UserGate: حساب حركة مرور الشبكة الخاصة بك!
الجميع أكثرلقد أصبح من الضروري للشركات اليوم أن تقوم بربط شبكات الكمبيوتر الخاصة بها بالإنترنت. عادة ما يكون مزود خدمة الإنترنت (ISP) مسؤولاً عن تشغيل قناة الوصول، ولكنه أيضًا مسؤول مدير النظاميتعين على شبكة الكمبيوتر الخاصة بالمؤسسة، حتى لو كانت صغيرة، أن تحل عددًا من المشكلات التنظيمية والتكنولوجية. في هذه المقالة لن ننظر خدمات بريديةوالاتصال الهاتفي عبر بروتوكول الإنترنت والشبكات الخاصة الافتراضية (VPN)، لكننا سنقتصر على الوصول إلى خدمات الويب وبروتوكول نقل الملفات المستندة إلى نظام التشغيل FreeBSD وخادم وكيل SQUID في شبكة الشركة التي تغطي ما يصل إلى 100 محطة عمل.
هناك طريقتان رئيسيتان لتزويد مستخدمي شبكة الشركة بإمكانية الوصول إلى خدمات الويب وFTP: من خلال التوجيه (البث) أو من خلال خادم وكيل.
في الحالة الأولى (الشكل 1)، يتم توفير الوصول عن طريق عنوان IP الخاص بالكمبيوتر الذي يعمل عليه الموظف. يمكن تنفيذ مثل هذا المخطط بالكامل على أساس حل البرمجيات- بوابة نظام التشغيل FreeBSD وجدار الحماية IPFW. بالإضافة إلى ذلك، هناك بوابات أجهزة وبرمجيات متخصصة معقدة. بالنسبة لمحطات العمل الطرفية، يعد تنظيم الوصول عن طريق عناوين IP مستحيلًا من الناحية الفنية، نظرًا لأنها جميعًا تستخدم نفس عنوان IP الخاص بالخادم الطرفي.
لتوصيل محطات عمل المستخدم بقناة الإنترنت، يتم استخدام بوابة على شكل خادم x86 مثبت عليه نظام تشغيل FreeBSD، وبرنامج NATD (يوفر ترجمة عناوين IP الداخلية إلى عنوان IP الحقيقيالخادم والظهر)، IPFW، تمكين التوجيه وواجهتين للشبكة: إحداهما "تنظر" نحو الشبكة المحلية، والأخرى متصلة بالموفر. على كل جهاز عميل في خصائص بروتوكول TCP/IP بطاقة الشبكةتحتاج إلى تسجيل عنوان IP الخاص بالبوابة.
وفي الحالة الثانية، يتم تفويض المستخدم باستخدام اسم الوصول (تسجيل الدخول) وكلمة المرور المخصصة للموظف. يمكن تنفيذ هذا الخيار، على وجه الخصوص، باستخدام خادم وكيل SQUID ونظام المصادقة ncsa_auth. دعونا نفكر الرسم البياني القياسي(الشكل 2)، حيث يتم تثبيت SQUID على بوابة الشبكة: "ينظر" الخادم إلى الشبكة المحلية بواجهة واحدة، ويتصل بقناة الإنترنت من خلال الواجهة الأخرى. باستخدام هذا الإعداد، لا يتطلب SQUID NATD أو التوجيه للعمل على الإنترنت (عبر HTTP وFTP وDNS) على الأجهزة الموجودة على الشبكة المحلية، نظرًا لأن SQUID يرسل جميع الطلبات إلى موارد الإنترنت "من نفسه" - باستخدام عنوان IP الواجهة الخارجيةبوابة. خدمة DNSيمكن تعطيله على أجهزة الكمبيوتر العميلة لأن SQUID نفسه يصل إلى DNS.
أرز. 2. الوصول إلى الإنترنت عبر خادم وكيل. |
عادةً، تستخدم شبكة الشركة البريد الإلكتروني وستظل بحاجة إلى التوجيه وNATD على البوابة لتشغيلها، ولكن بالنسبة لبريد الويب الذي يعمل عبر HTTP، يكون خادم وكيل SQUID كافيًا.
ينقل SQUID البيانات "التي تم تنزيلها" من الإنترنت إلى المستخدم ويخزنها في ذاكرة التخزين المؤقت الخاصة به. عند تكرار الطلب، يتم استرداد هذه البيانات من ذاكرة التخزين المؤقت (إذا كانت صفحة الويب تسمح بالتخزين المؤقت)، وهو أسرع بكثير ولا يشغل قناة الوصول. الى جانب المزيد الاستخدام الفعال عرض النطاقالقناة، هناك أيضًا توفير في حجم حركة المرور (وفقًا للمؤلف، يبلغ متوسطه 13٪ شهريًا). قد يتم تحديث البيانات الموجودة في ذاكرة التخزين المؤقت اعتمادًا على إعدادات الخادم الوكيل نفسه. عند النقر فوق الزر "تحديث" الموجود على لوحة تحكم المتصفح، يقوم الخادم الوكيل بنسخ البيانات قسراً من خادم الويب، حتى لو كانت موجودة في ذاكرة التخزين المؤقت الخاصة به وليست قديمة (وفي نفس الوقت يقوم بتحديثها في ذاكرة التخزين المؤقت ). ولكن يتم وضع علامة على بعض الصفحات الموجودة على مواقع الويب على أنها غير قابلة للتخزين المؤقت، على سبيل المثال، لأغراض زيادة الملاءمة.
بالإضافة إلى الوصول نفسه، يحتاج مسؤول النظام أيضًا إلى حل مشكلات ترخيص الوصول، وحساب حركة المرور ووقت المستخدم على الإنترنت، وضمان أمان الشبكة المحلية للمؤسسة. ومن الضروري أيضًا تحديد قواعد توزيع النطاق الترددي لقناة الإنترنت بين مستخدمي الشبكة وقواعد الوصول إلى موارد الإنترنت؛ قد تحتاج إلى وضع قيود أخرى على المستخدمين.
كل هذه الإجراءات، اعتمادًا على نوع الوصول المعتمد (عن طريق عنوان IP أو من خلال خادم وكيل)، لها خصائصها الخاصة.
لا توفر المصادقة باستخدام عنوان IP الخاص بجهاز الكمبيوتر حماية بكلمة مرور للوصول إلى الإنترنت. معرفة المستخدمين كلمات المرور للوصول بيئة العمليمكن تشغيل نظام التشغيل الخاص بأجهزة المؤسسة الأخرى أجهزة كمبيوتر مختلفة. لذلك، إذا كان العديد من الموظفين يستخدمون جهاز كمبيوتر واحد للعمل على الإنترنت، فمن المستحيل فصل حركة المرور الخاصة بهم عند المحاسبة.
هناك خيار لتزييف عنوان IP؛ ومع ذلك، هناك أيضًا إجراء مضاد - جدول ARP ثابت (بروتوكول تحليل العنوان - بروتوكول لتحويل عناوين IP إلى عناوين MAC / عناوين الأجهزة لبطاقات الشبكة) على البوابة، حيث تتم المراسلات بين عنوان IP وعنوان MAC الخاص بالشبكة تم تسجيل بطاقة الشبكة محطة العمل. بشكل عام، لا تتمتع مصادقة IP بالمرونة والموثوقية الكافية وتسمح فقط بحساب الحجم الإجمالي لحركة المرور.
في حالة وجود خادم وكيل، يتم تعيين زوج تعريف لمستخدمي شبكة الشركة الذين حصلوا على إذن للوصول إلى الإنترنت (HTTP، FTP، ICQ): تسجيل الدخول وكلمة المرور. يسمح هذا المخطط أيضًا لمستخدمين مختلفين بالوصول إلى الإنترنت من جهاز كمبيوتر واحد (الشيء الرئيسي هو أن معلمات الخادم الوكيل محددة في برامج العميل). سيتم الاحتفاظ بتسجيل حركة المرور لكل مستخدم (تسجيل الدخول) على حدة. يتم توفير المصادقة من خلال خادم وكيل SQUID الذي يقوم بتشغيل نظام التشغيل FreeBSD، ويقوم النظام الفرعي لبرنامج ncsa_auth بتخزين كلمات المرور بتنسيق MD5 المشفر. يمكن لـ SQUID استخدام آليات مصادقة خارجية مختلفة.
يجب أن يكون العمل على الإنترنت من خلال خادم وكيل مدعومًا بواسطة برنامج العميل: تحدد إعداداته عنوان DNS أو IP الخاص بالخادم الوكيل، بالإضافة إلى منفذ TCP الخاص به. تدعم جميع المتصفحات الحديثة وعميل ICQ العمل من خلال خادم وكيل والمصادقة عليه. يمكن أن تحدث المصادقة في كل مرة تقوم فيها بالاتصال (يُطلب اسم مستخدم وكلمة مرور) أو تكون دائمة (لا تتطلب إدخال اسم مستخدم وكلمة مرور، ولكن يتم تحديد اسم مستخدم من قائمة مصادقة الخادم الوكيل وكلمة مرور في إعدادات برنامج العميل). تتم المصادقة مرة واحدة وتكون صالحة حتى يتم إغلاق برنامج العميل. عند الانتهاء من تصفح الإنترنت، يقوم المستخدم ببساطة بإغلاق المتصفح وبالتالي إنهاء الجلسة المسموح بها.
يتم إجراء محاسبة حركة المرور حسب عناوين IP لمحطات العمل باستخدام IPFW - جدار الحماية البرمجيات، مدمج في نواة نظام التشغيل FreeBSD. لحساب حركة المستخدم بشكل موثوق باستخدام نظام الوصول هذا، يجب على الموظفين الوصول إلى الإنترنت فقط من محطات العمل المخصصة لهم، مما يحد بشكل طبيعي من مرونة عملهم وتنقله.
ومع ذلك، فإن هذا النهج له أيضا ميزته - حساب أكثر دقة للحجم الإجمالي لحركة المرور عبر بروتوكول IP. يتم تنفيذ هذا الإجراء عن طريق تعيين قاعدتي COUNT لجدار الحماية IPFW:
عد IP من أي إلى أي عبر de0 عد IP من أي إلى أي خارج عبر de0
القاعدة الأولى تأخذ في الاعتبار التدفق الوارد، والثانية - التدفق الصادر. هنا de0 هي واجهة الشبكة الخارجية للبوابة، والتي لها عنوان IP حقيقي على الإنترنت. في الوقت نفسه، مع هذا المخطط، من المستحيل تسجيل أسماء الموارد التي زارها المستخدمون، وكذلك أسماء وأحجام الملفات التي تم تنزيلها.
عند استخدام خادم وكيل، يتم تسجيل حركة المرور باستخدام بروتوكول HTTP، ويكون حجم هذه البيانات أقل من حجم حركة مرور IP. ولكن عند المصادقة من قبل المستخدم، يقوم SQUID بتسجيل جميع البيانات المتعلقة بالطلبات (عناوين DNS للمواقع، وقت استلام الطلب، حجم الملفات التي تم تنزيلها، المصدر - ذاكرة التخزين المؤقت لـ SQUID أو الإنترنت) في السجل لكل مستخدم، بغض النظر عن عنوان IP الخاص به آلة العميل.
يعد توصيل قناة إنترنت فعلية مباشرةً بشبكة الشركة بمثابة نقل أماكن عمل مؤسستك إلى منطقة مزدحمة. كقاعدة عامة، تعد المعلومات المتداولة على الشبكة المحلية أمرًا بالغ الأهمية لتشغيل المؤسسة، و تأثير ضاريمكن أن تؤدي الفيروسات (على سبيل المثال، البريد الإلكتروني)، أو الهجوم من الخارج أو تسرب البيانات من الداخل إلى تعطيل عملها بالكامل.
لا يمكن الاستهانة بالآثار الضارة للفيروسات، لكن حل هذه المشكلة يعتمد بنسبة 90% على وعي المستخدمين - ما إذا كان شخص ما سيطلق فيروسًا مرفقًا برسالة بريد إلكتروني. هجمات الفيروساتيمكن حظرها وتنعكس برامج مكافحة الفيروساتعلى خوادم البريد (Dr.Web، وMcAfee، وKaspersky Anti-Virus Business Optimal، وما إلى ذلك) وعلى أجهزة كمبيوتر المستخدمين ( نورتون مكافحة الفيروسات، منتجات Kaspersky Lab المقابلة، وما إلى ذلك). الشيء الرئيسي هنا هو التحديث في الوقت المناسبقواعد بيانات مكافحة الفيروسات.
يتم حظر الهجمات من الخارج، اعتمادًا على كيفية تنظيم الاتصال، من خلال التكوين الصحيح للبوابة، واستخدام خادم وكيل على البوابة بدون NAT والتوجيه، بالإضافة إلى نقل الخادم الوكيل والبريد وخادم الويب إلى " المنطقة منزوعة السلاح" (DMZ، شبكة فرعية من شبكات الشركات التي يمكن الوصول إليها من خلال الإنترنت).
إن تسريبات بيانات الشركات هي في الأساس ذات طبيعة تنظيمية وتشكل معظمها مشكلة معقدةلخدمة أمن المؤسسة. يخرج الحلول التقنية، مما يقلل من احتمالية حدوث ذلك: على وجه الخصوص، إغلاق جميع منافذ TCP/UDP الموجودة على واجهة البوابة التي "تبدو" في الشبكة المحلية (يبقى منفذ الخادم الوكيل فقط). يجب تعطيل التوجيه وترجمة العناوين (NAT) بين الإنترنت وعناوين IP الداخلية ("الرمادية") لشبكة المؤسسة.
يتم استخدام التدابير المدرجة عند تثبيت خادم وكيل على البوابة، ولكن النظام الذي يحتوي على خادم وكيل موجود في المنطقة المجردة من السلاح يعتبر أكثر أمانًا.
معظم حماية كاملةيوفر الفصل المادي لشبكة الشركة المحلية والإنترنت. في هذه الحالة، تنظم المؤسسة شبكة كمبيوتر للعمل على الإنترنت، غير متصلة بالشبكة المحلية عن طريق قنوات نقل المعلومات. البيانات المراد إرسالها عبر بريد إلكتروني، يتم حملها على وسائط قابلة للإزالة (على سبيل المثال، الأقراص المضغوطة)، والتي يتم التحقق منها بواسطة خدمة أمنية وتشفيرها، على سبيل المثال، باستخدام PGP - برنامج مجانيتشفير رسائل البريد الإلكتروني والملفات.
بالنسبة لنظام الوصول إلى IP، يمكن تنفيذ تقسيم عرض النطاق الترددي للقناة بين المستخدمين باستخدام أنابيب جدار الحماية IPFW لنظام التشغيل FreeBSD، وفي حالة خادم وكيل SQUID، يمكن استخدام آلية تأخير_تجمعاته.
يحدد الخادم حجم الملف الذي يطلبه المستخدم، وإذا كان هذا الحجم لا يتجاوز القيمة المحددة، فسيتم تنزيل الملف بأقصى سرعة ممكنة. وفي حالة الملف الأكبر حجمًا، يتم نقله بسرعة محددة ومحدودة. هذه الآليةلا ينطبق على جميع المستخدمين، ولكن فقط على أولئك المدرجين في قوائم ACL (قائمة التحكم في الوصول - مجموعة محددة من الكائنات التي يمكن تطبيق قيود مختلفة عليها)، مما يسمح لك بتكوين أولويات العمل بمرونة شديدة مجموعات مختلفةالمستخدمين.
وفي الوقت نفسه، إذا كان هناك مستخدم واحد فقط يعمل في نفس الوقت، فسيظل خاضعًا لقيود سرعة التنزيل ملفات كبيرة. يسمح IPFW، على عكس Delay_pools في SQUID، بتنفيذ تقسيم القناة الديناميكي.
بالنسبة لنظام IP، تكون القيود ممكنة فقط على عناوين IP الخاصة بالخادم ومنافذ TCP/UDP. وهذا يسبب الإزعاج، لأن آلية المضيفين الظاهريين شائعة اليوم خادم الويب أباتشياستنادًا إلى بروتوكول HTTP v1.1، عندما يخدم خادم ويب واحد بعنوان IP واحد العديد من المواقع بأسماء DNS مختلفة.
على العكس من ذلك، يوفر SQUID آليات مرنة للغاية لإدارة وصول المستخدم إلى موارد الإنترنت باستخدام قوائم ACL. يمكن أن يكون هذا، على سبيل المثال، الوصول في وقت معين، يوم من الأسبوع، الشهر؛ إذن/حظر لنسخ أنواع معينة من الملفات، إذن/حظر للوصول إلى مورد يحتوي اسمه على كلمة رئيسية معينة.
دور البوابة هو جهاز كمبيوتر مزود بواجهتين للشبكة (أحدهما متصل بالإنترنت وله عنوان IP حقيقي، والآخر "ينظر" إلى شبكة الشركة ويتم تحديده من خلال عنوان IP الخاص بشبكته الفرعية)، حيث تم تثبيت نظام التشغيل FreeBSD (http://www.freebsd.org). يعد FreeBSD سهل الإعداد وموثوقًا ومجانيًا ويحتوي تقريبًا على كل ما قد تحتاجه لخادم شبكة على مستوى المؤسسة.
عملية تثبيت نظام التشغيل FreeBSD، وتكوين واجهات الشبكة، وتشغيل وتكوين IPFW، وNATD، والتوجيه - بشكل عام، كل ما هو ضروري لتكوين بوابة الوصول إلى الإنترنت (سواء عبر IP أو باستخدام خادم وكيل SQUID، باستثناء تكوين SQUID نفسه) تم وصفه بالتفصيل في كتاب من تأليف M. Eben وB. Tyman "FreeBSD. موسوعة المستخدم" (كييف: Diasoft، 2003).
بالنسبة لكلا الخيارين لتنظيم الوصول إلى الإنترنت، يجب عليك تكوين برنامج IPFW. يقوم IPFW بتصفية وحساب حزم IP على كافة واجهات الشبكة. يقوم البرنامج أيضًا بمعالجة الحزم للمزيد مستويات عالية: UDP، TCP وICMP. بالإضافة إلى ذلك، تشارك IPFW في أعمال NATD. يوصي المؤلف عند إعداد قواعد ipfw، باستخدام الأداة المساعدة trafshow للتحكم في المكالمات من وإلى الشبكة على جميع الواجهات، مع الإشارة إلى عناوين IP آلات خارجيةوالبروتوكولات والمنافذ في الوقت الحقيقي. فريق
Trafshow -i fxp0 -n
يضبط عرض الحزم على واجهة fxp0 مع أرقام المنافذ والأمر
Ipfw - قائمة
يعرض قواعد ipfw وعدد الحزم وحجم حركة المرور (بالبايت) التي مرت منذ تشغيل الخادم أو آخر مرة تمت فيها إعادة تعيين عدادات القاعدة.
خادم وكيل SQUID للتخزين المؤقت (http://www.squid-cache.org) قيد التشغيل منصة يونكسهو برنامج مجاني مع مفتوح المصدر. إنه سهل التكوين، وموثق جيدًا، وموزع على نطاق واسع، ويتكامل بسهولة مع نظام التشغيل FreeBSD. يسمح لك SQUID بتنظيم أنواع مختلفة من المصادقة عند الوصول إلى الإنترنت، ويقيد الوصول وفقًا لأي معلمة (اسم المجال، الكلمة الرئيسيةفي العنوان والبروتوكول وما إلى ذلك) استنادًا إلى قوائم ACL.
عند استخدام SQUID على بوابة، من الضروري منع قدرة الأجهزة المحلية على الوصول إلى العناوين الخارجية (والعكس صحيح) والسماح بالوصول من الشبكة المحلية فقط إلى منفذ الخادم الوكيل على واجهته المحلية. يجب أيضًا تعطيل NAT والتوجيه على البوابة، إذا لم تكن هناك حاجة إليها لـ SMTP أو خدمات أخرى.
يتم التثبيت من منافذ نظام التشغيل FreeBSD (في الإصدار 4.9، الإصدار الحالي 4.10) /usr/ports/www/squid (الإصدار 2.5 STABLE3) أو /usr/ports/www/squid24 (STABLE7). يجب أن تكون الخيارات الضرورية بدون تعليق في ملف Makefile. الخيارات الموصى بها: CONFIGURE_ARGS+= -enable-delay-pools (لتمكين آلية تخصيص النطاق الترددي)؛ CONFIGURE_ARGS+= -enable-err-language=روسي-1251 (للتشخيصات باللغة الروسية) بعد تثبيت SQUID، تحتاج إلى تثبيت نظام الترخيص نفسه. ها النصوص المصدريةالموجودة في ملفات SQUID: /usr/ports/www/squid24/work/squid-2.4.STABLE7/auth_modules/NCSA مثال عملي لنص squid.conf Icp_port 0client_netmask 255.255.255.0 Authenticate_program /usr/local/squid/bin/ncsa_auth /usr/local/etc/passwd Authenticate_children 20 مرجع_عمر أسبوعين ACL all src 0.0.0.0/0.0.0.0 Acl manager proto Cache_object Acl localhost src 127.0.0 1 /255.255.255.255 acl SSL_ports port 443 563 acl Safe_ports port 80 # http acl Safe_ports port 21 # ftp acl Safe_ports port 443 563 # https,snews acl Safe_ports port 70 # gopher acl Safe_ports port 210 # wais acl Safe_ports port 10 . 25-65 535# منافذ غير مسجلة acl منفذ Safe_ports 280 # http-mgmt acl منفذ Safe_ports 488 # gss-http acl منفذ Safe_ports 591 # filemaker acl منفذ Safe_ports 777 # طريقة ربط http acl CONNECT CONNECT acl Inet_users proxy_auth "/usr/local/etc/squid_users" تأخير_تجمعات 1 تأخير_فئة 1 2 تأخير_معلمات 1 7500/7500 1875/1875 تأخير_الوصول 1 السماح لمستخدمي Inet_users تأخير_الوصول 1 رفض الكل http_access السماح للمدير المضيف المحلي http_access رفض المدير http_access رفض !Safe_ports http_access Den CONNECT !SSL_ports http_access السماح Inet_users http_access رفض الكل |
بعد تثبيت SQUID ونظام الترخيص الخاص به وتكوينه وتشغيله، يمكن للمسؤول فقط إضافة المستخدمين وإزالتهم. يكفي إنشاء بيانات المستخدم فقط في SQUID، نظرًا لأنها لا تقع ضمن بيئة نظام تشغيل الخادم الوكيل، وبالتالي ليست هناك حاجة لإنشاء بيانات تعريف مستخدم نظام التشغيل. بعد إجراء تغييرات على squid.conf أو إضافة/إزالة مستخدمين، يجب على SQUID إعادة قراءة التكوين الخاص به دون إغلاق جلسات المستخدم الحالية باستخدام الأمر
إعادة تكوين الحبار -k.
عند إنشاء مستخدم SQUID باستخدام ncsa_auth، يجب عليك تحديد تسجيل دخول المستخدم وكلمة المرور في ملفين للتكوين؛ في مثالنا سيبدو هكذا:
/usr/local/etc/squid_users /usr/local/etc/passwd
يضيف الملف الأول ببساطة اسم المستخدم (تسجيل الدخول) باستخدام خط جديدباستخدام محرر النص. يقوم الملف الثاني بتخزين كلمات مرور المستخدم (في MD5)، ويمكنك فقط إضافة حساب إلى هذا الملف باستخدام الأداة المساعدة htpasswd التي تأتي مع خادم الويب Apache.
من الضروري مراقبة محتويات ذاكرة التخزين المؤقت لـ SQUID ومسحها بشكل دوري لتجنب تجاوز نظام الملفات باستخدام الأمر squid -Z.
في إعدادات العميل في خصائص المتصفحات وعملاء ICQ، يجب عليك تحديد عنوان IP للخادم الوكيل والمنفذ. في مثالنا، هذا هو IP:192.168.1.8 والمنفذ 3128 (يتم استخدام هذا المنفذ افتراضيًا). لو برنامج اي سي كيوتم تكوينه للعمل من خلال خادم وكيل، فهو يستخدم منفذ TCP رقم 443، وليس منفذ TCP رقم 5190 لخوادم ICQ، والذي يجب أيضًا أخذه في الاعتبار عند تكوين جدران الحماية. عند استخدام SQUID، من الضروري منع قدرة الأجهزة المحلية على الوصول إلى منفذ TCP رقم 80 لخوادم الإنترنت. يمكنك بشكل عام السماح بالوصول فقط إلى منفذ الخادم الوكيل، وإغلاقه أمام جميع الآخرين، باستثناء البريد، حتى لا يذهب المستخدمون "المتقدمون" إلى الإنترنت متجاوزين SQUID.
يمكنك التعرف على تعقيدات إعداد SQUID على موقع الويب http://www.bog.pp.ru/work/squid.html.
ولهذا الغرض، يتم استخدام برنامج المحلل المجاني مفتوح المصدر SARG (). نتيجة عمله هي صفحات HTML التي تعرض جميع أنواع البيانات الإحصائية حول عمل المستخدمين على الإنترنت. يتم تحليل فترة السجل بأكملها، لذلك يكون من الملائم أكثر عمل الشرائح اللازمة في نهاية الشهر، ثم مسح سجل SQUID باستخدام أمر access.log.
هناك نوعان من التخفيضات المطلوبة في أغلب الأحيان. أولا، توزيع حجم المعلومات التي تم تنزيلها من الإنترنت من قبل المستخدم، وعادة ما يتم فرزها بترتيب تنازلي للحجم (الشكل 3). كما يوفر معلومات كمية حول فعالية التخزين المؤقت. يتيح لك هذا المقطع العرضي تحليل حجم العمل على الإنترنت ككل وتصنيف المستخدمين وفقًا لنشاط عملهم على الإنترنت.
تعرض الشريحة الشعبية الثانية المحملة مستخدم محددالمعلومات الموجودة على المواقع (الشكل 4)، مرتبة أيضًا بترتيب تنازلي لحجم البيانات. تتيح لك هذه الشريحة استخلاص المعلومات من المستخدم على الإنترنت ومعرفة ما إذا كانت المواقع الأكثر طلبًا تتوافق مع المسؤوليات الوظيفية للموظف.
لقد نظرنا في خيارين للتنظيم اتصال دائمشبكة الشركة إلى الإنترنت.
الخيار "استنادًا إلى عناوين IP لأجهزة كمبيوتر المستخدم التي تستخدم قواعد IPFW" له العيوب التالية. أولا، من المستحيل التحقق من مدى ملاءمة عمل المستخدم على الإنترنت، حيث أن IPFW يحسب فقط إجمالي حركة المرور لكل قاعدة موصوفة لجهاز معين، ولا يتتبع المواقع التي تمت زيارتها. ثانياً، من المستحيل السماح لمستخدم يعمل حالياً على الإنترنت. وهذا مهم بشكل خاص إذا كان الجهاز "مشتركًا" بين عدة مستخدمين. وأخيرًا، من الممكن للمستخدم انتحال عنوان IP.
بالإضافة إلى ذلك، إذا كنت تستخدم خادمًا طرفيًا، فمن المستحيل مراعاة حركة المرور مستخدمين مختلفين، نظرًا لأنها تعمل جميعًا من نفس عنوان IP للخادم الطرفي.
تعكس العيوب المدرجة ببساطة القيود المفروضة على المحاسبة وإدارة حركة المرور من خلال عناوين IP ونظام المحاسبة IPFW. ليس المقصود من IPFW قياس حركة مرور أجهزة المستخدم بشكل مباشر؛ بل هو أداة لحساب حركة مرور القناة.
يتم توفير حل كامل وكامل للمشكلة من خلال نظام يستخدم بوابة مع نظام التشغيل FreeBSD وجدار حماية IPFW تم تكوينه وخادم وكيل SQUID مثبت عليه مع تمكين مصادقة ncsa_auth. يتيح لك استخدام خادم وكيل للتخزين المؤقت في شبكة الشركة توفير ما يصل إلى 10% من الدفع مقابل حركة المرور الشهرية وتسريع عملية تحميل الموارد التي تمت زيارتها بشكل متكرر بشكل كبير.
جميع البرامج المستخدمة في هذا الحل مجانية. تكاليف دعمه ضئيلة، وكما تظهر الممارسة، فإن نظام FreeBSD+SQUID موثوق به تمامًا.
يعد نظام SQUID، نظرًا لمرونته في التكوين وتوافر واجهات لتوصيل الوحدات الخارجية، قابلاً للتطوير بدرجة كبيرة. الخطأ في حساب حركة مرور HTTP مقارنةً بـ IP، المتأصل في SQUID، ليس أساسيًا؛ والأهم من ذلك بكثير هو أنه من الممكن تنظيم كمية موثوقة و مراقبة الجودةتشغيل المستخدم على الإنترنت عبر بروتوكولات HTTP وHTTPS وFTP والتمييز بين حقوق الوصول والأولويات.
الخادم الوكيل قادر على العمل على جهاز منخفض الطاقة إلى حد ما، على سبيل المثال، مع معالج سيليرونتردد 1 جيجا هرتز وذاكرة 128 ميجا بايت و قرص صلب 20 جيجابايت (يتم تشغيل هذا التكوين حاليًا في مؤسستنا، ويخدم 30 مستخدمًا)، ويمكن أداء دور بوابة الوصول إلى IP (FreeBSD، IPFW، NATD) بواسطة كمبيوتر Pentium بسرعة 166 ميجاهرتز وذاكرة تبلغ 128 ميجابايت.
قبل مناقشة مصادقة مستخدمي الشبكة، من الضروري وضع قواعد للتحكم في الوصول إلى الشبكة. لم تعد الشبكات كيانات متجانسة. في معظم الحالات هناك واحد نقطة خارجيةالوصول - الاتصال بالإنترنت عبر مزود خدمة الإنترنت ( مزود خدمة الإنترنت- مزود خدمة الإنترنت). ستحدد قواعد التحكم في الوصول إلى الشبكة متطلبات الأمان التي يجب تثبيتها عند نقاط دخول الشبكة.
بواباتهي النقاط التي يتم عندها نقل حركة مرور الشبكة من شبكة المؤسسة إلى شبكة أخرى. بالنسبة لنقاط البوابة، يجب أن تأخذ قواعد التحكم في الوصول في الاعتبار طبيعة الشبكة التي تم تركيب الجسر عليها.
الجميع الوصول إلى الهاتففي الشبكة يجب أن تكون محمية باستخدام ضوابط مصادقة قوية. يجب تكوين أجهزة المودم للوصول عبر الطلب الهاتفي أو الطلب الهاتفي الخارجي، ولكن ليس كليهما مطلقًا. يجب أن يوفر مسؤول الشبكة إجراءات لضمان الوصول إلى أنظمة المودم. يجب على المستخدمين عدم تثبيت أجهزة المودم في نقاط أخرى على الشبكة دون فرض عقوبات مناسبة.
كما هو الحال مع أي قواعد، يجب أن تتوقع أنه ستكون هناك طلبات لتغيير قواعد التحكم في الوصول. وبغض النظر عن الأسباب التي تدعو إلى تعديل القواعد، ينبغي أن يكون من الممكن إجراء استثناءات للقواعد من خلال آلية مراجعة القواعد. إذا أنشأت السياسة لجنة لإدارة الأمن (راجع الفصل الثالث، مسؤوليات أمن المعلومات)، فقد يُطلب من اللجنة مراجعة القواعد.
أي بوابة مقترح تركيبها على شبكة الشركة والتي قد تخالف القواعد أو الإجراءات المنصوص عليها في تلك القواعد لا يجوز تركيبها إلا بموافقة مسبقة من لجنة إدارة الأمن.
إن الزيادة في عدد الشبكات في المؤسسة تجبرنا على البحث عن خيارات جديدة لربط المكاتب البعيدة والعملاء وتبسيط الوصول لأطراف الخدمة المقابلة أو الأطراف المقابلة المحتملة. وقد أدى هذا النمو إلى ظهور نوعين من الاتصالات الخارجية: الشبكات الخاصة الافتراضية ( VPN- الشبكة الافتراضية الخاصة) والشبكات الخارجية. الشبكات الافتراضية الخاصة هي طريقة غير مكلفةثَبَّتَ التواصل المعلوماتيبين قسمين أو أكثر من أقسام المنظمة الموجودة في مناطق مختلفة. تقوم المؤسسات بإنشاء شبكة VPN عن طريق ربط جميع الإدارات بالإنترنت وتثبيت الأجهزة التي ستقوم بتشفير وفك تشفير المعلومات في كلا الإدارتين المتصلتين مع بعضهما البعض. بالنسبة للمستخدمين، سيبدو العمل من خلال VPN كما لو أن كلا القسمين موجودان في نفس المنطقة ويعملان على شبكة واحدة.
قبل أن نواصل، من المهم أن نتذكر أن كل من البوابات أو الأنظمة الداعمة هي نقطة دخول إلى شبكة المؤسسة. عند أي نقطة دخول، يجب التحقق من سلطة تدفق البيانات الداخلة والخارجة من الشبكة بطريقة ما. إحدى القضايا التي يجب مراعاتها هي متطلبات الترخيص اتصالات خارجيةلأنظمة الشبكات المساعدة. قد يكون هذا مشكلة للأنظمة المساعدة المتصلة باستمرار بالشبكة. بالنسبة لأنظمة الدعم هذه، من الضروري تحديد كيفية السماح بوجودها على الشبكة. في الواقع، حتى اتصالات الشبكة المؤقتة، مثل اتصالات المودم الواردة، يمكن أن يكون لها متطلبات مصادقة صارمة.
لا ينبغي وصف متطلبات المصادقة في هذا القسم من القاعدة - حيث تتم مناقشتها في القسم التالي، "أمان تسجيل الدخول". هنا لا يسعنا إلا أن نشير إلى الحاجة إلى متطلبات المصادقة. ستتم مناقشة القواعد المتعلقة بمعايير المصادقة في القسم التالي. ومع ذلك، لضمان معالجة مسألة المصادقة للأنظمة المساعدة، فإن شرط القواعد الخاص بـ اتصالات الشبكة البينيةيمكنك إضافة ما يلي.
يجب أن تتم مصادقة التطبيقات المطلوبة لتشغيل البوابات بواسطة الشبكة. إذا تعذرت مصادقة التطبيق نفسه، فسيتم توضيح قواعد المصادقة في هذا المستنديجب أن تنطبق على الأنظمة المساعدة المتصلة عبر البوابات.