إدارة الوصول إلى الإنترنت. الحلول القياسية لتنظيم الوصول إلى الإنترنت للمؤسسات الصغيرة

09.04.2019

كيفشينكو أليكسي، 1880

تحتوي هذه المقالة على نظرة عامة خمسةخيارات لحل مشكلة تنظيم الوصول إلى خدمات شبكة الشركة من الإنترنت. توفر المراجعة تحليلاً لخيارات السلامة والجدوى، مما سيساعد المتخصصين المبتدئين والأكثر خبرة على فهم جوهر المشكلة وتحديث معارفهم وتنظيمها. يمكن استخدام المواد الواردة في المقالة لتبرير قرارات التصميم الخاصة بك.

عند النظر في الخيارات، لنأخذ كمثال الشبكة التي تريد النشر فيها:

  1. خادم بريد الشركة (بريد الويب).
  2. خادم المحطة الطرفية للمؤسسات (RDP).
  3. خدمة الشبكة الخارجية للأطراف المقابلة (Web-API).

الخيار 1: شبكة مسطحة

في هذا الخيار، يتم تضمين كافة عقد شبكة الشركة في شبكة واحدة مشتركة للجميع ("الشبكة الداخلية")، والتي لا تكون الاتصالات بينها محدودة. يتم توصيل الشبكة بالإنترنت من خلال جهاز توجيه/جدار حماية حدودي (يشار إليه فيما بعد باسم IFW).

يصل المضيفون إلى الإنترنت من خلال NAT، ويتمكنون من الوصول إلى الخدمات من الإنترنت من خلال إعادة توجيه المنفذ.

إيجابيات الخيار:

  1. الحد الأدنى من متطلبات الوظائف IFW(يمكن إجراؤه على أي جهاز توجيه تقريبًا، حتى جهاز التوجيه المنزلي).
  2. الحد الأدنى من متطلبات المعرفة للمتخصص الذي ينفذ الخيار.
عيوب الخيار:
  1. الحد الأدنى من الأمن. في حالة حدوث اختراق تمكن فيه الدخيل من السيطرة على أحد الخوادم المنشورة على الإنترنت، تصبح جميع العقد وقنوات الاتصال الأخرى لشبكة الشركة متاحة له لمزيد من الهجمات.
تشبيه للحياة الحقيقية
يمكن مقارنة هذه الشبكة بشركة يكون فيها الموظفون والعملاء في غرفة مشتركة واحدة (مساحة مفتوحة)


hrmaximum.ru

الخيار 2. المنطقة المجردة من السلاح

للتخلص من العيب المذكور سابقًا، يتم وضع عقد الشبكة التي يمكن الوصول إليها من الإنترنت في جزء مخصص خصيصًا - منطقة منزوعة السلاح (DMZ). يتم تنظيم DMZ باستخدام جدران الحماية، وفصله عن الإنترنت ( IFW) ومن الشبكة الداخلية ( DFW).


في هذه الحالة، تبدو قواعد تصفية جدار الحماية كما يلي:
  1. من الشبكة الداخلية يمكنك بدء الاتصالات بالمنطقة المجردة من السلاح (DMZ) والشبكة الواسعة النطاق (WAN).
  2. من المنطقة DMZ، يمكنك بدء الاتصالات بشبكة WAN.
  3. من شبكة WAN، يمكنك بدء الاتصالات بالمنطقة المجردة من السلاح.
  4. يحظر بدء الاتصالات من WAN وDMZ إلى الشبكة الداخلية.


مزايا الخيار:
  1. زيادة أمن الشبكة ضد القرصنة الخدمات الفردية. حتى لو تم اختراق أحد الخوادم، فلن يتمكن الدخيل من الوصول إلى الموارد الموجودة على الشبكة الداخلية (على سبيل المثال، طابعات الشبكة، أنظمة المراقبة بالفيديو، الخ).
عيوب الخيار:
  1. إن نقل الخوادم إلى المنطقة المجردة من السلاح في حد ذاته لا يزيد من أمانها.
  2. مطلوب جدار حماية إضافي لفصل المنطقة المجردة من السلاح عن الشبكة الداخلية.
تشبيه للحياة الحقيقية
يشبه هذا الإصدار من بنية الشبكة تنظيم العمل ومناطق العملاء في الشركة، حيث يمكن للعملاء التواجد في منطقة العميل فقط، ويمكن للموظفين التواجد في مناطق العميل والعمل. إن قطاع DMZ هو على وجه التحديد نظير لمنطقة العميل.


autobam.ru

الخيار 3. تقسيم الخدمات إلى الواجهة الأمامية والخلفية

كما ذكرنا سابقًا، فإن وضع الخادم في المنطقة المجردة من السلاح لا يؤدي بأي حال من الأحوال إلى تحسين أمان الخدمة نفسها. أحد الخيارات لتصحيح الموقف هو تقسيم وظائف الخدمة إلى قسمين: الواجهة الأمامية والخلفية. علاوة على ذلك، يقع كل جزء على خادم منفصل، حيث يتم تنظيمه الشبكات. يتم وضع خوادم الواجهة الأمامية، التي تنفذ وظيفة التفاعل مع العملاء الموجودين على الإنترنت، في المنطقة المجردة من السلاح، ويتم ترك خوادم الواجهة الخلفية، التي تنفذ الوظائف المتبقية، على الشبكة الداخلية. للتفاعل بينهما على DFWإنشاء قواعد تسمح ببدء الاتصالات من الواجهة الأمامية إلى الواجهة الخلفية.

على سبيل المثال، فكر في شركة خدمة آخر، لخدمة العملاء من داخل الشبكة ومن الإنترنت. يستخدم العملاء من الداخل POP3/SMTP، ويعمل العملاء من الإنترنت من خلال واجهة الويب. عادة، في مرحلة التنفيذ، تختار الشركات أبسط طريقة لنشر الخدمة ووضع جميع مكوناتها على خادم واحد. ثم، والحاجة إلى ضمان أمن المعلومات، يتم تقسيم وظيفة الخدمة إلى أجزاء، ويتم نقل الجزء المسؤول عن خدمة العملاء من الإنترنت (Front-End) إلى خادم منفصلالذي يتفاعل عبر الشبكة مع الخادم الذي ينفذ الوظائف المتبقية (الجهة الخلفية). في هذه الحالة، يتم وضع الواجهة الأمامية في المنطقة المجردة من السلاح، وتبقى الواجهة الخلفية في الجزء الداخلي. للتواصل بين الواجهة الأمامية والخلفية DFWإنشاء قاعدة تسمح ببدء الاتصالات من الواجهة الأمامية إلى الواجهة الخلفية.

مزايا الخيار:

  1. في الحالة العامةيمكن أن "تتعثر" الهجمات الموجهة ضد الخدمة المحمية على الواجهة الأمامية، مما يؤدي إلى تحييد الضرر المحتمل أو تقليله بشكل كبير. على سبيل المثال، ستؤدي الهجمات مثل TCP SYN Flood أو قراءة http البطيئة التي تستهدف الخدمة إلى حقيقة أن خادم الواجهة الأمامية قد يصبح غير متاح، بينما سيستمر الخادم الخلفي في العمل بشكل طبيعي وخدمة المستخدمين.
  2. بشكل عام، قد لا يتمكن خادم Back-End من الوصول إلى الإنترنت، الأمر الذي، إذا تم اختراقه (على سبيل المثال، عن طريق تشغيل تعليمات برمجية ضارة محليًا)، سيجعل الأمر صعبًا جهاز التحكملهم من الإنترنت.
  3. يعتبر Front-End مناسبًا تمامًا لاستضافة جدار حماية على مستوى التطبيق (على سبيل المثال، جدار حماية تطبيق الويب) أو نظام منع التطفل (IPS، على سبيل المثال Snort).
عيوب الخيار:
  1. للتواصل بين الواجهة الأمامية والخلفية DFWيتم إنشاء قاعدة تسمح ببدء الاتصال من المنطقة المجردة من السلاح إلى الشبكة الداخلية، مما يخلق تهديدات مرتبطة بالاستخدام من هذه القاعدةمن العقد الأخرى في المنطقة المجردة من السلاح (على سبيل المثال، من خلال تنفيذ هجمات انتحال IP، وتسميم ARP، وما إلى ذلك)
  2. لا يمكن تقسيم جميع الخدمات إلى الواجهة الأمامية والخلفية.
  3. يجب على الشركة تنفيذ العمليات التجارية لتحديث قواعد جدار الحماية.
  4. يجب على الشركة تنفيذ آليات للحماية من هجمات المتسللين الذين تمكنوا من الوصول إلى خادم في المنطقة المجردة من السلاح.
ملحوظات
  1. في الحياة الواقعية، حتى بدون تقسيم الخوادم إلى واجهة أمامية وخلفية، غالبًا ما تحتاج الخوادم من المنطقة المجردة من السلاح إلى الوصول إلى الخوادم الموجودة على الشبكة الداخلية، لذا فإن هذه العيوب هذا الخيارسيكون صالحًا أيضًا للخيار السابق الذي تم النظر فيه.
  2. إذا أخذنا في الاعتبار حماية التطبيقات التي تعمل عبر واجهة الويب، فحتى لو كان الخادم لا يدعم فصل الوظائف إلى الواجهة الأمامية والواجهة الخلفية، فإن استخدام http عكسي مخدم بروكسي(على سبيل المثال، nginx) كواجهة أمامية ستقلل من المخاطر المرتبطة بهجمات رفض الخدمة. على سبيل المثال، قد تؤدي هجمات فيضانات SYN إلى جعل وكيل http العكسي غير متاح بينما تستمر الواجهة الخلفية في العمل.
تشبيه للحياة الحقيقية
يشبه هذا الخيار بشكل أساسي تنظيم العمل، حيث يتم استخدام المساعدين - الأمناء - للعمال المثقلين بالأعباء. بعد ذلك، ستكون الواجهة الخلفية نظيرًا لموظف مشغول، وستكون الواجهة الأمامية نظيرًا للسكرتير.


mln.kz

الخيار 4: تأمين المنطقة المجردة من السلاح

تعد المنطقة المجردة من السلاح جزءًا من الشبكة التي يمكن الوصول إليها من خلال الإنترنت، ونتيجة لذلك، فإنها تخضع لأقصى قدر من المخاطر المتمثلة في اختراق المضيف. يجب أن يوفر تصميم المنطقة المجردة من السلاح والأساليب المستخدمة فيها أقصى قدر من البقاء في الظروف التي يكتسب فيها الدخيل السيطرة على إحدى العقد في المنطقة المجردة من السلاح. باعتبارها هجمات محتملة، فكر في الهجمات التي يكون الجميع تقريبًا عرضة لها نظم المعلومات، العمل مع الإعدادات الافتراضية:

الحماية ضد هجمات DHCP

على الرغم من حقيقة أن DHCP يهدف إلى أتمتة تكوين عناوين IP لمحطات العمل، في بعض الشركات هناك حالات يتم فيها إصدار عناوين IP للخوادم من خلال DHCP، ولكن هذه ممارسة سيئة إلى حد ما. لذلك، للحماية من Rogue DHCP Server، وتجويع DHCP، يوصى بتعطيل DHCP بالكامل في المنطقة المجردة من السلاح.

الحماية ضد هجمات الفيضانات MAC

للحماية من فيضان MAC، تم تكوين منافذ التبديل للحد من الحد الأقصى لكثافة حركة مرور البث (نظرًا لأن هذه الهجمات عادةً ما تولد حركة مرور البث). سيتم حظر الهجمات التي تتضمن استخدام عناوين شبكة محددة (أحادية البث) عن طريق تصفية MAC، والتي ناقشناها سابقًا.

الحماية ضد هجمات الفيضانات UDP

الدفاع من من هذا النوعيتم تنفيذ الهجمات بشكل مشابه للحماية من فيضان MAC، باستثناء أن التصفية تتم على مستوى IP (L3).

الحماية ضد هجمات الفيضانات TCP SYN

للحماية من هذا الهجوم، الخيارات التالية ممكنة:
  1. الحماية في عقدة الشبكة باستخدام تقنية ملفات تعريف الارتباط TCP SYN.
  2. حماية على مستوى جدار الحماية (تخضع للشبكات الفرعية للمنطقة المجردة من السلاح) عن طريق الحد من كثافة حركة المرور التي تحتوي على طلبات TCP SYN.

الحماية ضد الهجمات على خدمات الشبكة وتطبيقات الويب

لا يوجد حل عالمي لهذه المشكلة، ولكن الممارسة المتبعة هي تنفيذ عمليات إدارة الثغرات البرمجية (تحديد الهوية، وتثبيت التصحيحات، وما إلى ذلك، على سبيل المثال)، بالإضافة إلى استخدام أنظمة كشف التسلل ومنعه (IDS/IPS).

الحماية ضد هجمات تجاوز المصادقة

أما بالنسبة لل الحالة السابقةلا يوجد حل عالمي لهذه المشكلة.
عادة في حالة عدد كبيرفي حالة محاولات التفويض غير الناجحة، يتم حظر الحسابات لتجنب تخمين بيانات المصادقة (على سبيل المثال، كلمة المرور). لكن هذا النهج مثير للجدل إلى حد كبير، وإليكم السبب.
أولاً، يمكن للمتسلل إجراء اختيار معلومات المصادقة بكثافة لا تؤدي إلى حظر الحسابات (هناك حالات تم فيها اختيار كلمة المرور على مدار عدة أشهر مع فاصل زمني بين المحاولات يصل إلى عدة عشرات من الدقائق).
ثانيًا، هذه الميزةيمكن استخدامها لهجمات رفض الخدمة، حيث يقوم المهاجم عمدا بإجراء عدد كبير من محاولات التفويض من أجل حظر الحسابات.
معظم خيار فعالسيتم استخدام أنظمة IDS/IPS ضد هجمات هذه الفئة، والتي، عند اكتشاف محاولات تخمين كلمة المرور، لن تقوم بحظر الحساب، ولكن المصدر الذي يحدث منه هذا التخمين (على سبيل المثال، حظر عنوان IP الخاص بالمتسلل).

القائمة النهائية للتدابير الوقائية لهذا الخيار:

  1. يتم تقسيم DMZ إلى شبكات فرعية IP مع شبكة فرعية منفصلة لكل عقدة.
  2. يتم تعيين عناوين IP يدويًا بواسطة المسؤولين. لا يتم استخدام DHCP.
  3. على واجهات الشبكة التي تتصل بها عقد DMZ، يتم تنشيط تصفية MAC وIP والقيود المفروضة على كثافة حركة مرور البث وحركة المرور التي تحتوي على طلبات TCP SYN.
  4. يتم تعطيل التفاوض التلقائي لأنواع المنافذ على المحولات ويُحظر استخدام شبكة VLAN الأصلية.
  5. يتم تكوين ملف تعريف الارتباط TCP SYN على عقد DMZ وخوادم الشبكة الداخلية التي تتصل بها هذه العقد.
  6. يتم تنفيذ إدارة ثغرات البرامج لعقد DMZ (ويفضل بقية الشبكة).
  7. يتم تنفيذ أنظمة كشف ومنع التسلل IDS/IPS في قطاع المنطقة المجردة من السلاح.
مزايا الخيار:
  1. درجة عالية من الأمان.
عيوب الخيار:
  1. زيادة المتطلبات ل وظائفمعدات.
  2. تكاليف العمالة للتنفيذ والدعم.
تشبيه للحياة الحقيقية
إذا قمنا مسبقًا بمقارنة المنطقة المجردة من السلاح بمنطقة العميل المجهزة بأرائك وأرائك، فإن المنطقة المجردة من السلاح الآمنة ستكون أشبه بسجل نقدي مصفح.


valmax.com.ua

الخيار 5. الاتصال الخلفي

استندت تدابير الحماية التي تم النظر فيها في الإصدار السابق إلى حقيقة وجود جهاز على الشبكة (محول / جهاز توجيه / جدار حماية) قادر على تنفيذها. ولكن في الممارسة العملية، على سبيل المثال، عند الاستخدام البنية التحتية الافتراضية(المفاتيح الافتراضية غالبًا ما تكون ذات قدرات محدودة جدًا)، جهاز مماثلقد لا يكون هناك.

في ظل هذه الظروف، تصبح العديد من الهجمات التي سبق ذكرها متاحة للمخالف، وأخطرها سيكون:

  • الهجمات التي تسمح لك باعتراض حركة المرور وتعديلها (تسمم ARP، تجاوز سعة جدول CAM + اختطاف جلسة TCP، وما إلى ذلك)؛
  • الهجمات المتعلقة باستغلال الثغرات الأمنية في خوادم الشبكة الداخلية والتي يمكن بدء الاتصالات بها من المنطقة المجردة من السلاح (وهو أمر ممكن عن طريق تجاوز قواعد التصفية DFWبسبب انتحال IP وMAC).
الميزة المهمة التالية، والتي لم نأخذها في الاعتبار من قبل، ولكنها لا تتوقف عن كونها أقل أهمية، هي أن محطات العمل الآلية (AWS) للمستخدمين يمكن أن تكون أيضًا مصدرًا (على سبيل المثال، عند الإصابة بفيروسات أو أحصنة طروادة) للتأثيرات الضارة على الخوادم.

وبالتالي، فإننا نواجه مهمة حماية خوادم الشبكة الداخلية من هجمات الدخيل سواء من المنطقة المجردة من السلاح أو من الشبكة الداخلية (يمكن تفسير إصابة محطة العمل بفيروس طروادة على أنها تصرفات الدخيل من الشبكة الداخلية ).

يهدف النهج المقترح أدناه إلى تقليل عدد القنوات التي يمكن للمتسلل من خلالها مهاجمة الخوادم، وهناك قناتان على الأقل من هذه القنوات. الأول هو القاعدة DFW، مما يسمح بالوصول إلى خادم الشبكة الداخلية من المنطقة المجردة من السلاح (حتى لو كان مقيدًا بعناوين IP)، والثاني هو منفذ شبكة مفتوح على الخادم حيث يُتوقع طلبات الاتصال عليه.

يمكنك إغلاق القنوات المحددة إذا كان خادم الشبكة الداخلية نفسه ينشئ اتصالات بالخادم في المنطقة المجردة من السلاح ويقوم بذلك باستخدام طريقة محمية بالتشفير بروتوكولات الشبكة. ثم لن يكون هناك أي منفذ مفتوح، لا توجد قواعد DFW.

لكن المشكلة هي أن خدمات الخادم العادية لا تعرف كيفية العمل بهذه الطريقة، ولتنفيذ هذا النهج من الضروري استخدام نفق الشبكة، الذي يتم تنفيذه، على سبيل المثال، مع باستخدام SSHأو VPN، وداخل الأنفاق تسمح بالاتصالات من الخادم الموجود في المنطقة المجردة من السلاح إلى خادم الشبكة الداخلية.

المخطط العاميبدو تشغيل هذا الخيار كما يلي:

  1. يتم تثبيت خادم SSH/VPN على خادم في المنطقة المجردة من السلاح، ويتم تثبيت عميل SSH/VPN على خادم في الشبكة الداخلية.
  2. يبدأ خادم الشبكة الداخلي في إنشاء نفق الشبكة إلى الخادم في المنطقة المجردة من السلاح. تم إنشاء النفق من خلال المصادقة المتبادلة بين العميل والخادم.
  3. يبدأ الخادم من المنطقة المجردة من السلاح، داخل النفق المُنشأ، الاتصال بالخادم في الشبكة الداخلية، والذي يتم من خلاله نقل البيانات المحمية.
  4. يتم تكوين جدار حماية محلي على خادم الشبكة الداخلية لتصفية حركة المرور التي تمر عبر النفق.

أظهر استخدام هذا الخيار عمليًا أنه من الملائم إنشاء أنفاق شبكة باستخدام OpenVPN، نظرًا لأنه يتمتع بالخصائص المهمة التالية:

  • عبر منصة. يمكنك تنظيم الاتصال على خوادم ذات أنظمة تشغيل مختلفة.
  • إمكانية بناء الأنفاق مع المصادقة المتبادلة بين العميل والخادم.
  • إمكانية استخدام التشفير المعتمد.
للوهلة الأولى قد يبدو ذلك هذا المخططيعد الأمر معقدًا بشكل غير ضروري، وبما أنك لا تزال بحاجة إلى تثبيت جدار حماية محلي على خادم الشبكة الداخلية، فمن الأسهل جعل الخادم من المنطقة المجردة من السلاح، كالعادة، يتصل بخادم الشبكة الداخلية، ولكن يمكنك القيام بذلك عبر اتصال مشفر. في الواقع، سيحل هذا الخيار العديد من المشكلات، لكنه لن يكون قادرا على توفير الشيء الرئيسي - الحماية من الهجمات على نقاط الضعف في خادم الشبكة الداخلية التي يتم تنفيذها عن طريق تجاوز جدار الحماية باستخدام انتحال IP و MAC.

مزايا الخيار:

  1. التخفيض المعماري لعدد نواقل الهجوم على خادم الشبكة الداخلية المحمية.
  2. ضمان الأمن في غياب تصفية حركة مرور الشبكة.
  3. حماية البيانات المنقولة عبر الشبكة من العرض والتعديل غير المصرح به.
  4. القدرة على زيادة مستوى أمان الخدمات بشكل انتقائي.
  5. إمكانية تطبيق نظام حماية ذو دائرتين، حيث يتم توفير الدائرة الأولى باستخدام جدار الحماية، ويتم تنظيم الثانية على أساس هذا الخيار.
عيوب الخيار:
  1. يتطلب تنفيذ وصيانة خيار الحماية هذا تكاليف عمالة إضافية.
  2. عدم التوافق مع أنظمة كشف التسلل إلى الشبكة ومنعها (IDS/IPS).
  3. إضافي الحمل الحسابيإلى الخادم.
تشبيه للحياة الحقيقية
المعنى الرئيسي لهذا الخيار هو أن الشخص الموثوق به ينشئ اتصالاً مع شخص غير موثوق به، وهو ما يشبه الموقف عندما تقوم البنوك نفسها، عند إصدار القروض، باستدعاء المقترض المحتمل مرة أخرى للتحقق من البيانات.
  • شبكات الشركات
    • اضف اشارة

    يقوم المسؤول بتوزيع موارد الإنترنت على موظفي الشركة، وإنشاء قوائم بأسماء النطاقات المحظورة أو المسموح بها، وعناوين IP، وما إلى ذلك. وفي الوقت نفسه، يمكنه وضع قيود على الوقت أو مقدار حركة المرور. في حالة الإفراط في الإنفاق، يتم إغلاق الوصول إلى الإنترنت تلقائيا.

    تنبيه: يمكن للمسؤول دائمًا تزويد الإدارة بتقرير حول استخدام الشبكة لكل موظف.

    • نظام مرن من القواعد للتحكم في الوصول إلى الإنترنت:
      • القيود المفروضة على وقت التشغيل، وعلى مقدار حركة المرور المرسلة/المستقبلة (محاسبة حركة المرور) يوميًا و/أو أسبوعًا و/أو شهرًا، وعلى مقدار الوقت المستخدم يوميًا و/أو أسبوعًا و/أو شهرًا؛
      • المرشحات التي تتحكم في وصول المستخدم إلى الموارد غير المرغوب فيها (المواقع الجنسية ومواقع الألعاب)؛
      • نظام متطور قيود حركة المرورو سرعة الوصوللكل مستخدم. في حالة حركة المرور المفرطة، يتم إغلاق الوصول إلى الإنترنت تلقائيا؛
      • قوائم أسماء النطاقات المحظورة أو المسموح بها، وعناوين IP، وأجزاء من سلسلة URL، والتي يحظر/يسمح المسؤول بالوصول إليها؛
      • القدرة على تعيين مجموعة من عناوين IP المسموح بها والمحظورة؛
      • جدول كل ساعة لعمل المستخدم على الإنترنت؛
      • المرشحات التي تسمح لك بتكوين "قطع الشعار" عالي الكفاءة.
    • عد وعرض الإحصاءاتنشاط المستخدم وفقًا لمعلمات مختلفة (الأيام والمواقع) لفترة زمنية عشوائية. عرض إحصائيات الإنترنت لنشاط المستخدم للشهر الحالي عبر HTTP ممكن فقط للمستخدمين على الشبكة المحلية.
    • نظام الفواتير المدمجيقوم تلقائيًا بحساب تكلفة عمل المستخدم على الإنترنت بناءً على السعر والوقت و/أو حجم حركة المرور. يمكنك تحديد التعريفات لكل مستخدم على حدة أو لمجموعة من المستخدمين. من الممكن تبديل التعريفات اعتمادًا على الوقت من اليوم أو يوم الأسبوع أو عنوان الموقع.

    أمن المعلومات المكتبية

    • دعم VPNالشبكة الافتراضية الخاصة عبارة عن مجموعة من الأجهزة الفردية أو الشبكات المحلية في الشبكة، ويتم ضمان أمانها من خلال آلية تشفير البيانات ومصادقة المستخدم.
    • جدار الحماية المدمجيمنع الوصول غير المصرح به إلى بيانات الخادم والشبكة المحلية عن طريق حظر الاتصالات على منافذ وبروتوكولات معينة. تتحكم وظيفة جدار الحماية في الوصول إلى المنافذ الضرورية، على سبيل المثال، لنشر خادم الويب الخاص بالشركة على الإنترنت.
    • كاسبيرسكي مكافحة الفيروسات وباندامتكاملة في الخادم الوكيل بوابة المستخدمتعمل كمرشحات: اعتراض البيانات المرسلة عبرها بروتوكولات HTTPوبروتوكول نقل الملفات. يتم تنفيذ دعم بروتوكولات البريد POP3 وSMTP على المستوى الأعلى. يتيح لك هذا استخدام برنامج مكافحة الفيروسات المدمج لفحص حركة مرور البريد. إذا كانت الرسالة تحتوي على ملف مرفق به فيروس، الخادم الوكيل بوابة المستخدمسيقوم بحذف المرفق وإخطار المستخدم بذلك عن طريق تغيير نص الرسالة. جميع المصابين أو الملفات المشبوهةمن الحروف يتم وضعها في مجلد خاص في الدليل بوابة المستخدم.
      مدير بوابة المستخدميمكن اختيار ما إذا كنت تريد استخدام وحدة واحدة لمكافحة الفيروسات أو كليهما في نفس الوقت. وفي الحالة الأخيرة، يمكنك تحديد الترتيب الذي يتم به فحص كل نوع من أنواع حركة المرور. على سبيل المثال، سيتم فحص حركة مرور HTTP أولاً بواسطة برنامج مكافحة فيروسات من Kaspersky Lab، ثم بواسطة وحدة نمطية من Panda Software
    • دعم بروتوكول البريد
      POP3 – وSMTP – وكلاء في بوابة المستخدميمكن أن تعمل مع أو بدون برنامج تشغيل NAT. عند العمل بدون سائق، الحساب في عميل البريدمن جانب المستخدم تم تكوينه بطريقة خاصة. عند العمل باستخدام برنامج التشغيل (تشغيل الوكيل في الوضع الشفاف)، يتم تنفيذ إعدادات البريد من جانب المستخدم بنفس الطريقة كما هو الحال مع الوصول المباشرفي الإنترنت. الدعم المستقبلي لـ POP3 و بروتوكولات SMTPفي المستوى الأعلى سيتم استخدامه لإنشاء وحدة مكافحة البريد العشوائي.

    الإدارة باستخدام خادم وكيل UserGate

    • قواعد الشبكة
      في الخادم الوكيل بوابة المستخدمتم تنفيذ دعم تقنية NAT (ترجمة عنوان الشبكة). عنوان الشبكة) ورسم خرائط المنفذ (تخصيص المنفذ). تُستخدم تقنية NAT لإنشاء وكلاء شفافين، وتدعم بروتوكولات أخرى غير HTTP أو FTP.
      يسمح الوكيل الشفاف للمستخدمين بالعمل دون إعدادات خاصة، ويتم تحرير المسؤولين من الحاجة إلى تكوين متصفحات المستخدم يدويًا.
    • وحدة إضافية Usergate Cache Explorerمصممة لعرض محتويات ذاكرة التخزين المؤقت. يعد العمل مع هذه الوظيفة أمرًا بسيطًا: ما عليك سوى تحديد موقع ملف ug_cache.lst من مجلد ذاكرة التخزين المؤقت عند بدء تشغيله. بعد قراءة محتويات هذا الملف برنامج Usergate مستكشف ذاكرة التخزين المؤقتسوف تظهر قائمة بالموارد المخزنة مؤقتا. تحتوي لوحة تحكم Cache Explorer على عدة أزرار تسمح لك بتصفية محتوى ذاكرة التخزين المؤقت حسب الحجم والامتداد وما إلى ذلك. يمكن حفظ البيانات التي تمت تصفيتها في مجلد على القرص الصلب الخاص بك لمزيد من الدراسة الدقيقة.
    • وظيفة تعيين المنفذ(تعيين المنفذ) يسمح لك بربط أي منفذ محدد لإحدى واجهات IP المحلية بالمنفذ المطلوب المضيف البعيد. تُستخدم تعيينات المنافذ لتنظيم تشغيل تطبيقات البنك والعميل والألعاب والبرامج الأخرى التي تتطلب إعادة توجيه الحزم إلى عنوان IP محدد. إذا كنت بحاجة إلى الوصول من الإنترنت إلى مكان معين مورد الشبكةويمكن تحقيق ذلك أيضًا باستخدام وظيفة تعيين المنفذ.
    • إدارة حركة المرور: التحكم في حركة مرور الشبكة وحسابها
      تم تصميم وظيفة "إدارة حركة المرور" لإنشاء قواعد تتحكم في وصول مستخدمي الشبكة المحلية إلى الإنترنت، وإنشاء وتغيير التعريفات المستخدمة بوابة المستخدم.
      تنبيه: برنامج تشغيل NAT مدمج في الخادم الوكيل بوابة المستخدم، يوفر المحاسبة الأكثر دقة لحركة المرور على الإنترنت.
      في الخادم الوكيل بوابة المستخدمهناك إمكانية الانفصال أنواع مختلفةحركة المرور، على سبيل المثال، حركة الإنترنت المحلية والأجنبية. تتم أيضًا مراقبة حركة المرور وعناوين IP المستخدمين النشطين، وتسجيلات الدخول الخاصة بهم، وزيارة عناوين URL في الوقت الفعلي.
    • الإدارة عن بعديسمح لمسؤول النظام بأن يكون متنقلاً، لأنه أصبح من الممكن الآن إدارة الخادم الوكيل بوابة المستخدمعن بعد.
    • اوتوماتيك و البريد اليدوي مستخدمي المعلومات حول حركة المرور الخاصة بهم عن طريق البريد الإلكتروني، بما في ذلك من خلال الخوادم التي لديها ترخيص SMTP.
    • اتصال ب وكيل تتاليمع إمكانية الترخيص.
    • مولد تقرير مرنمع القدرة على التصدير إلى MS Excel وHTML.
    • طرق مختلفة لتخويل المستخدمين:وفقا لجميع البروتوكولات. عن طريق عنوان IP، عن طريق IP+MAC، IP+MAC (اشتراك)؛ بواسطة اسم المستخدم وكلمة المرور؛ باستخدام ترخيص ويندوزوالدليل النشط.
    • استيراد المستخدمين من الدليل النشط - الآن ليس عليك إنشاء عدة مئات من المستخدمين يدويًا، فالبرنامج سيفعل كل شيء من أجلك.
    • جدول المهاميتيح لك تنفيذ أحد الإجراءات المحددة مسبقًا في وقت محدد: إرسال الإحصائيات، أو تشغيل برنامج، أو إنشاء أو إنهاء اتصال الطلب الهاتفي، أو تحديث قواعد بيانات مكافحة الفيروسات.
    • بوابة المستخدميدعم ما يلي البروتوكولات:
      • HTTP (مخابئ)؛
      • بروتوكول نقل الملفات (مخابئ)؛
      • الجوارب4، الجوارب5؛
      • بوب 3؛
      • SMTP;
      • أي بروتوكول UDP/TCP عبر NAT (ترجمة عنوان الشبكة) ومن خلال تعيين المنفذ.

    توفير المال عند استخدام الإنترنت

    باستخدام المرشحات المضمنة بوابة المستخدميمنع تحميل الإعلانات من الإنترنت ويحظر الوصول إلى الموارد غير المرغوب فيها.

    تنبيه: يمكن للمسؤول حظر تنزيل الملفات امتداد محدد، على سبيل المثال JPEG، MP3.

    كما يمكن للبرنامج أن يتذكر (ذاكرة التخزين المؤقت) جميع الصفحات والصور التي تمت زيارتها، مما يحرر القناة لتنزيل المعلومات المفيدة. كل هذا لا يقلل بشكل كبير من حركة المرور فحسب، بل يقلل أيضًا من الوقت الذي تقضيه على الخط.

    مخدم بروكسيبرنامج UserGate: حساب حركة مرور الشبكة الخاصة بك!

    الجميع أكثرلقد أصبح من الضروري للشركات اليوم أن تقوم بربط شبكات الكمبيوتر الخاصة بها بالإنترنت. عادة ما يكون مزود خدمة الإنترنت (ISP) مسؤولاً عن تشغيل قناة الوصول، ولكنه أيضًا مسؤول مدير النظاميتعين على شبكة الكمبيوتر الخاصة بالمؤسسة، حتى لو كانت صغيرة، أن تحل عددًا من المشكلات التنظيمية والتكنولوجية. في هذه المقالة لن ننظر خدمات بريديةوالاتصال الهاتفي عبر بروتوكول الإنترنت والشبكات الخاصة الافتراضية (VPN)، لكننا سنقتصر على الوصول إلى خدمات الويب وبروتوكول نقل الملفات المستندة إلى نظام التشغيل FreeBSD وخادم وكيل SQUID في شبكة الشركة التي تغطي ما يصل إلى 100 محطة عمل.

    طريقتان

    هناك طريقتان رئيسيتان لتزويد مستخدمي شبكة الشركة بإمكانية الوصول إلى خدمات الويب وFTP: من خلال التوجيه (البث) أو من خلال خادم وكيل.

    في الحالة الأولى (الشكل 1)، يتم توفير الوصول عن طريق عنوان IP الخاص بالكمبيوتر الذي يعمل عليه الموظف. يمكن تنفيذ مثل هذا المخطط بالكامل على أساس حل البرمجيات- بوابة نظام التشغيل FreeBSD وجدار الحماية IPFW. بالإضافة إلى ذلك، هناك بوابات أجهزة وبرمجيات متخصصة معقدة. بالنسبة لمحطات العمل الطرفية، يعد تنظيم الوصول عن طريق عناوين IP مستحيلًا من الناحية الفنية، نظرًا لأنها جميعًا تستخدم نفس عنوان IP الخاص بالخادم الطرفي.

    لتوصيل محطات عمل المستخدم بقناة الإنترنت، يتم استخدام بوابة على شكل خادم x86 مثبت عليه نظام تشغيل FreeBSD، وبرنامج NATD (يوفر ترجمة عناوين IP الداخلية إلى عنوان IP الحقيقيالخادم والظهر)، IPFW، تمكين التوجيه وواجهتين للشبكة: إحداهما "تنظر" نحو الشبكة المحلية، والأخرى متصلة بالموفر. على كل جهاز عميل في خصائص بروتوكول TCP/IP بطاقة الشبكةتحتاج إلى تسجيل عنوان IP الخاص بالبوابة.

    وفي الحالة الثانية، يتم تفويض المستخدم باستخدام اسم الوصول (تسجيل الدخول) وكلمة المرور المخصصة للموظف. يمكن تنفيذ هذا الخيار، على وجه الخصوص، باستخدام خادم وكيل SQUID ونظام المصادقة ncsa_auth. دعونا نفكر الرسم البياني القياسي(الشكل 2)، حيث يتم تثبيت SQUID على بوابة الشبكة: "ينظر" الخادم إلى الشبكة المحلية بواجهة واحدة، ويتصل بقناة الإنترنت من خلال الواجهة الأخرى. باستخدام هذا الإعداد، لا يتطلب SQUID NATD أو التوجيه للعمل على الإنترنت (عبر HTTP وFTP وDNS) على الأجهزة الموجودة على الشبكة المحلية، نظرًا لأن SQUID يرسل جميع الطلبات إلى موارد الإنترنت "من نفسه" - باستخدام عنوان IP الواجهة الخارجيةبوابة. خدمة DNSيمكن تعطيله على أجهزة الكمبيوتر العميلة لأن SQUID نفسه يصل إلى DNS.
    أرز. 2. الوصول إلى الإنترنت عبر خادم وكيل.

    عادةً، تستخدم شبكة الشركة البريد الإلكتروني وستظل بحاجة إلى التوجيه وNATD على البوابة لتشغيلها، ولكن بالنسبة لبريد الويب الذي يعمل عبر HTTP، يكون خادم وكيل SQUID كافيًا.

    ينقل SQUID البيانات "التي تم تنزيلها" من الإنترنت إلى المستخدم ويخزنها في ذاكرة التخزين المؤقت الخاصة به. عند تكرار الطلب، يتم استرداد هذه البيانات من ذاكرة التخزين المؤقت (إذا كانت صفحة الويب تسمح بالتخزين المؤقت)، وهو أسرع بكثير ولا يشغل قناة الوصول. الى جانب المزيد الاستخدام الفعال عرض النطاقالقناة، هناك أيضًا توفير في حجم حركة المرور (وفقًا للمؤلف، يبلغ متوسطه 13٪ شهريًا). قد يتم تحديث البيانات الموجودة في ذاكرة التخزين المؤقت اعتمادًا على إعدادات الخادم الوكيل نفسه. عند النقر فوق الزر "تحديث" الموجود على لوحة تحكم المتصفح، يقوم الخادم الوكيل بنسخ البيانات قسراً من خادم الويب، حتى لو كانت موجودة في ذاكرة التخزين المؤقت الخاصة به وليست قديمة (وفي نفس الوقت يقوم بتحديثها في ذاكرة التخزين المؤقت ). ولكن يتم وضع علامة على بعض الصفحات الموجودة على مواقع الويب على أنها غير قابلة للتخزين المؤقت، على سبيل المثال، لأغراض زيادة الملاءمة.

    بالإضافة إلى الوصول نفسه، يحتاج مسؤول النظام أيضًا إلى حل مشكلات ترخيص الوصول، وحساب حركة المرور ووقت المستخدم على الإنترنت، وضمان أمان الشبكة المحلية للمؤسسة. ومن الضروري أيضًا تحديد قواعد توزيع النطاق الترددي لقناة الإنترنت بين مستخدمي الشبكة وقواعد الوصول إلى موارد الإنترنت؛ قد تحتاج إلى وضع قيود أخرى على المستخدمين.

    كل هذه الإجراءات، اعتمادًا على نوع الوصول المعتمد (عن طريق عنوان IP أو من خلال خادم وكيل)، لها خصائصها الخاصة.

    المصادقة

    لا توفر المصادقة باستخدام عنوان IP الخاص بجهاز الكمبيوتر حماية بكلمة مرور للوصول إلى الإنترنت. معرفة المستخدمين كلمات المرور للوصول بيئة العمليمكن تشغيل نظام التشغيل الخاص بأجهزة المؤسسة الأخرى أجهزة كمبيوتر مختلفة. لذلك، إذا كان العديد من الموظفين يستخدمون جهاز كمبيوتر واحد للعمل على الإنترنت، فمن المستحيل فصل حركة المرور الخاصة بهم عند المحاسبة.

    هناك خيار لتزييف عنوان IP؛ ومع ذلك، هناك أيضًا إجراء مضاد - جدول ARP ثابت (بروتوكول تحليل العنوان - بروتوكول لتحويل عناوين IP إلى عناوين MAC / عناوين الأجهزة لبطاقات الشبكة) على البوابة، حيث تتم المراسلات بين عنوان IP وعنوان MAC الخاص بالشبكة تم تسجيل بطاقة الشبكة محطة العمل. بشكل عام، لا تتمتع مصادقة IP بالمرونة والموثوقية الكافية وتسمح فقط بحساب الحجم الإجمالي لحركة المرور.

    في حالة وجود خادم وكيل، يتم تعيين زوج تعريف لمستخدمي شبكة الشركة الذين حصلوا على إذن للوصول إلى الإنترنت (HTTP، FTP، ICQ): تسجيل الدخول وكلمة المرور. يسمح هذا المخطط أيضًا لمستخدمين مختلفين بالوصول إلى الإنترنت من جهاز كمبيوتر واحد (الشيء الرئيسي هو أن معلمات الخادم الوكيل محددة في برامج العميل). سيتم الاحتفاظ بتسجيل حركة المرور لكل مستخدم (تسجيل الدخول) على حدة. يتم توفير المصادقة من خلال خادم وكيل SQUID الذي يقوم بتشغيل نظام التشغيل FreeBSD، ويقوم النظام الفرعي لبرنامج ncsa_auth بتخزين كلمات المرور بتنسيق MD5 المشفر. يمكن لـ SQUID استخدام آليات مصادقة خارجية مختلفة.

    يجب أن يكون العمل على الإنترنت من خلال خادم وكيل مدعومًا بواسطة برنامج العميل: تحدد إعداداته عنوان DNS أو IP الخاص بالخادم الوكيل، بالإضافة إلى منفذ TCP الخاص به. تدعم جميع المتصفحات الحديثة وعميل ICQ العمل من خلال خادم وكيل والمصادقة عليه. يمكن أن تحدث المصادقة في كل مرة تقوم فيها بالاتصال (يُطلب اسم مستخدم وكلمة مرور) أو تكون دائمة (لا تتطلب إدخال اسم مستخدم وكلمة مرور، ولكن يتم تحديد اسم مستخدم من قائمة مصادقة الخادم الوكيل وكلمة مرور في إعدادات برنامج العميل). تتم المصادقة مرة واحدة وتكون صالحة حتى يتم إغلاق برنامج العميل. عند الانتهاء من تصفح الإنترنت، يقوم المستخدم ببساطة بإغلاق المتصفح وبالتالي إنهاء الجلسة المسموح بها.

    المحاسبة المرورية

    يتم إجراء محاسبة حركة المرور حسب عناوين IP لمحطات العمل باستخدام IPFW - جدار الحماية البرمجيات، مدمج في نواة نظام التشغيل FreeBSD. لحساب حركة المستخدم بشكل موثوق باستخدام نظام الوصول هذا، يجب على الموظفين الوصول إلى الإنترنت فقط من محطات العمل المخصصة لهم، مما يحد بشكل طبيعي من مرونة عملهم وتنقله.

    ومع ذلك، فإن هذا النهج له أيضا ميزته - حساب أكثر دقة للحجم الإجمالي لحركة المرور عبر بروتوكول IP. يتم تنفيذ هذا الإجراء عن طريق تعيين قاعدتي COUNT لجدار الحماية IPFW:

    عد IP من أي إلى أي عبر de0 عد IP من أي إلى أي خارج عبر de0

    القاعدة الأولى تأخذ في الاعتبار التدفق الوارد، والثانية - التدفق الصادر. هنا de0 هي واجهة الشبكة الخارجية للبوابة، والتي لها عنوان IP حقيقي على الإنترنت. في الوقت نفسه، مع هذا المخطط، من المستحيل تسجيل أسماء الموارد التي زارها المستخدمون، وكذلك أسماء وأحجام الملفات التي تم تنزيلها.

    عند استخدام خادم وكيل، يتم تسجيل حركة المرور باستخدام بروتوكول HTTP، ويكون حجم هذه البيانات أقل من حجم حركة مرور IP. ولكن عند المصادقة من قبل المستخدم، يقوم SQUID بتسجيل جميع البيانات المتعلقة بالطلبات (عناوين DNS للمواقع، وقت استلام الطلب، حجم الملفات التي تم تنزيلها، المصدر - ذاكرة التخزين المؤقت لـ SQUID أو الإنترنت) في السجل لكل مستخدم، بغض النظر عن عنوان IP الخاص به آلة العميل.

    أمن الاتصال بالإنترنت

    يعد توصيل قناة إنترنت فعلية مباشرةً بشبكة الشركة بمثابة نقل أماكن عمل مؤسستك إلى منطقة مزدحمة. كقاعدة عامة، تعد المعلومات المتداولة على الشبكة المحلية أمرًا بالغ الأهمية لتشغيل المؤسسة، و تأثير ضاريمكن أن تؤدي الفيروسات (على سبيل المثال، البريد الإلكتروني)، أو الهجوم من الخارج أو تسرب البيانات من الداخل إلى تعطيل عملها بالكامل.

    لا يمكن الاستهانة بالآثار الضارة للفيروسات، لكن حل هذه المشكلة يعتمد بنسبة 90% على وعي المستخدمين - ما إذا كان شخص ما سيطلق فيروسًا مرفقًا برسالة بريد إلكتروني. هجمات الفيروساتيمكن حظرها وتنعكس برامج مكافحة الفيروساتعلى خوادم البريد (Dr.Web، وMcAfee، وKaspersky Anti-Virus Business Optimal، وما إلى ذلك) وعلى أجهزة كمبيوتر المستخدمين ( نورتون مكافحة الفيروسات، منتجات Kaspersky Lab المقابلة، وما إلى ذلك). الشيء الرئيسي هنا هو التحديث في الوقت المناسبقواعد بيانات مكافحة الفيروسات.

    يتم حظر الهجمات من الخارج، اعتمادًا على كيفية تنظيم الاتصال، من خلال التكوين الصحيح للبوابة، واستخدام خادم وكيل على البوابة بدون NAT والتوجيه، بالإضافة إلى نقل الخادم الوكيل والبريد وخادم الويب إلى " المنطقة منزوعة السلاح" (DMZ، شبكة فرعية من شبكات الشركات التي يمكن الوصول إليها من خلال الإنترنت).

    إن تسريبات بيانات الشركات هي في الأساس ذات طبيعة تنظيمية وتشكل معظمها مشكلة معقدةلخدمة أمن المؤسسة. يخرج الحلول التقنية، مما يقلل من احتمالية حدوث ذلك: على وجه الخصوص، إغلاق جميع منافذ TCP/UDP الموجودة على واجهة البوابة التي "تبدو" في الشبكة المحلية (يبقى منفذ الخادم الوكيل فقط). يجب تعطيل التوجيه وترجمة العناوين (NAT) بين الإنترنت وعناوين IP الداخلية ("الرمادية") لشبكة المؤسسة.

    يتم استخدام التدابير المدرجة عند تثبيت خادم وكيل على البوابة، ولكن النظام الذي يحتوي على خادم وكيل موجود في المنطقة المجردة من السلاح يعتبر أكثر أمانًا.

    معظم حماية كاملةيوفر الفصل المادي لشبكة الشركة المحلية والإنترنت. في هذه الحالة، تنظم المؤسسة شبكة كمبيوتر للعمل على الإنترنت، غير متصلة بالشبكة المحلية عن طريق قنوات نقل المعلومات. البيانات المراد إرسالها عبر بريد إلكتروني، يتم حملها على وسائط قابلة للإزالة (على سبيل المثال، الأقراص المضغوطة)، والتي يتم التحقق منها بواسطة خدمة أمنية وتشفيرها، على سبيل المثال، باستخدام PGP - برنامج مجانيتشفير رسائل البريد الإلكتروني والملفات.

    توزيع سعة القناة

    بالنسبة لنظام الوصول إلى IP، يمكن تنفيذ تقسيم عرض النطاق الترددي للقناة بين المستخدمين باستخدام أنابيب جدار الحماية IPFW لنظام التشغيل FreeBSD، وفي حالة خادم وكيل SQUID، يمكن استخدام آلية تأخير_تجمعاته.

    يحدد الخادم حجم الملف الذي يطلبه المستخدم، وإذا كان هذا الحجم لا يتجاوز القيمة المحددة، فسيتم تنزيل الملف بأقصى سرعة ممكنة. وفي حالة الملف الأكبر حجمًا، يتم نقله بسرعة محددة ومحدودة. هذه الآليةلا ينطبق على جميع المستخدمين، ولكن فقط على أولئك المدرجين في قوائم ACL (قائمة التحكم في الوصول - مجموعة محددة من الكائنات التي يمكن تطبيق قيود مختلفة عليها)، مما يسمح لك بتكوين أولويات العمل بمرونة شديدة مجموعات مختلفةالمستخدمين.

    وفي الوقت نفسه، إذا كان هناك مستخدم واحد فقط يعمل في نفس الوقت، فسيظل خاضعًا لقيود سرعة التنزيل ملفات كبيرة. يسمح IPFW، على عكس Delay_pools في SQUID، بتنفيذ تقسيم القناة الديناميكي.

    الوصول إلى الموارد والقيود الأخرى

    بالنسبة لنظام IP، تكون القيود ممكنة فقط على عناوين IP الخاصة بالخادم ومنافذ TCP/UDP. وهذا يسبب الإزعاج، لأن آلية المضيفين الظاهريين شائعة اليوم خادم الويب أباتشياستنادًا إلى بروتوكول HTTP v1.1، عندما يخدم خادم ويب واحد بعنوان IP واحد العديد من المواقع بأسماء DNS مختلفة.

    على العكس من ذلك، يوفر SQUID آليات مرنة للغاية لإدارة وصول المستخدم إلى موارد الإنترنت باستخدام قوائم ACL. يمكن أن يكون هذا، على سبيل المثال، الوصول في وقت معين، يوم من الأسبوع، الشهر؛ إذن/حظر لنسخ أنواع معينة من الملفات، إذن/حظر للوصول إلى مورد يحتوي اسمه على كلمة رئيسية معينة.

    تكوين بوابة IPFW

    دور البوابة هو جهاز كمبيوتر مزود بواجهتين للشبكة (أحدهما متصل بالإنترنت وله عنوان IP حقيقي، والآخر "ينظر" إلى شبكة الشركة ويتم تحديده من خلال عنوان IP الخاص بشبكته الفرعية)، حيث تم تثبيت نظام التشغيل FreeBSD (http://www.freebsd.org). يعد FreeBSD سهل الإعداد وموثوقًا ومجانيًا ويحتوي تقريبًا على كل ما قد تحتاجه لخادم شبكة على مستوى المؤسسة.

    عملية تثبيت نظام التشغيل FreeBSD، وتكوين واجهات الشبكة، وتشغيل وتكوين IPFW، وNATD، والتوجيه - بشكل عام، كل ما هو ضروري لتكوين بوابة الوصول إلى الإنترنت (سواء عبر IP أو باستخدام خادم وكيل SQUID، باستثناء تكوين SQUID نفسه) تم وصفه بالتفصيل في كتاب من تأليف M. Eben وB. Tyman "FreeBSD. موسوعة المستخدم" (كييف: Diasoft، 2003).

    بالنسبة لكلا الخيارين لتنظيم الوصول إلى الإنترنت، يجب عليك تكوين برنامج IPFW. يقوم IPFW بتصفية وحساب حزم IP على كافة واجهات الشبكة. يقوم البرنامج أيضًا بمعالجة الحزم للمزيد مستويات عالية: UDP، TCP وICMP. بالإضافة إلى ذلك، تشارك IPFW في أعمال NATD. يوصي المؤلف عند إعداد قواعد ipfw، باستخدام الأداة المساعدة trafshow للتحكم في المكالمات من وإلى الشبكة على جميع الواجهات، مع الإشارة إلى عناوين IP آلات خارجيةوالبروتوكولات والمنافذ في الوقت الحقيقي. فريق

    Trafshow -i fxp0 -n

    يضبط عرض الحزم على واجهة fxp0 مع أرقام المنافذ والأمر

    Ipfw - قائمة

    يعرض قواعد ipfw وعدد الحزم وحجم حركة المرور (بالبايت) التي مرت منذ تشغيل الخادم أو آخر مرة تمت فيها إعادة تعيين عدادات القاعدة.

    التنفيذ والعمل مع SQUID

    خادم وكيل SQUID للتخزين المؤقت (http://www.squid-cache.org) قيد التشغيل منصة يونكسهو برنامج مجاني مع مفتوح المصدر. إنه سهل التكوين، وموثق جيدًا، وموزع على نطاق واسع، ويتكامل بسهولة مع نظام التشغيل FreeBSD. يسمح لك SQUID بتنظيم أنواع مختلفة من المصادقة عند الوصول إلى الإنترنت، ويقيد الوصول وفقًا لأي معلمة (اسم المجال، الكلمة الرئيسيةفي العنوان والبروتوكول وما إلى ذلك) استنادًا إلى قوائم ACL.

    عند استخدام SQUID على بوابة، من الضروري منع قدرة الأجهزة المحلية على الوصول إلى العناوين الخارجية (والعكس صحيح) والسماح بالوصول من الشبكة المحلية فقط إلى منفذ الخادم الوكيل على واجهته المحلية. يجب أيضًا تعطيل NAT والتوجيه على البوابة، إذا لم تكن هناك حاجة إليها لـ SMTP أو خدمات أخرى.

    يتم التثبيت من منافذ نظام التشغيل FreeBSD (في الإصدار 4.9، الإصدار الحالي 4.10) /usr/ports/www/squid (الإصدار 2.5 STABLE3) أو /usr/ports/www/squid24 (STABLE7). يجب أن تكون الخيارات الضرورية بدون تعليق في ملف Makefile. الخيارات الموصى بها:

    CONFIGURE_ARGS+= -enable-delay-pools (لتمكين آلية تخصيص النطاق الترددي)؛ CONFIGURE_ARGS+= -enable-err-language=روسي-1251 (للتشخيصات باللغة الروسية)

    بعد تثبيت SQUID، تحتاج إلى تثبيت نظام الترخيص نفسه. ها النصوص المصدريةالموجودة في ملفات SQUID:

    /usr/ports/www/squid24/work/squid-2.4.STABLE7/auth_modules/NCSA

    مثال عملي لنص squid.conf

    Icp_port 0client_netmask 255.255.255.0 Authenticate_program /usr/local/squid/bin/ncsa_auth /usr/local/etc/passwd Authenticate_children 20 مرجع_عمر أسبوعين ACL all src 0.0.0.0/0.0.0.0 Acl manager proto Cache_object Acl localhost src 127.0.0 1 /255.255.255.255 acl SSL_ports port 443 563 acl Safe_ports port 80 # http acl Safe_ports port 21 # ftp acl Safe_ports port 443 563 # https,snews acl Safe_ports port 70 # gopher acl Safe_ports port 210 # wais acl Safe_ports port 10 . 25-65 535# منافذ غير مسجلة acl منفذ Safe_ports 280 # http-mgmt acl منفذ Safe_ports 488 # gss-http acl منفذ Safe_ports 591 # filemaker acl منفذ Safe_ports 777 # طريقة ربط http acl CONNECT CONNECT acl Inet_users proxy_auth "/usr/local/etc/squid_users" تأخير_تجمعات 1 تأخير_فئة 1 2 تأخير_معلمات 1 7500/7500 1875/1875 تأخير_الوصول 1 السماح لمستخدمي Inet_users تأخير_الوصول 1 رفض الكل http_access السماح للمدير المضيف المحلي http_access رفض المدير http_access رفض !Safe_ports http_access Den CONNECT !SSL_ports http_access السماح Inet_users http_access رفض الكل

    بعد تثبيت SQUID ونظام الترخيص الخاص به وتكوينه وتشغيله، يمكن للمسؤول فقط إضافة المستخدمين وإزالتهم. يكفي إنشاء بيانات المستخدم فقط في SQUID، نظرًا لأنها لا تقع ضمن بيئة نظام تشغيل الخادم الوكيل، وبالتالي ليست هناك حاجة لإنشاء بيانات تعريف مستخدم نظام التشغيل. بعد إجراء تغييرات على squid.conf أو إضافة/إزالة مستخدمين، يجب على SQUID إعادة قراءة التكوين الخاص به دون إغلاق جلسات المستخدم الحالية باستخدام الأمر

    إعادة تكوين الحبار -k.

    عند إنشاء مستخدم SQUID باستخدام ncsa_auth، يجب عليك تحديد تسجيل دخول المستخدم وكلمة المرور في ملفين للتكوين؛ في مثالنا سيبدو هكذا:

    /usr/local/etc/squid_users /usr/local/etc/passwd

    يضيف الملف الأول ببساطة اسم المستخدم (تسجيل الدخول) باستخدام خط جديدباستخدام محرر النص. يقوم الملف الثاني بتخزين كلمات مرور المستخدم (في MD5)، ويمكنك فقط إضافة حساب إلى هذا الملف باستخدام الأداة المساعدة htpasswd التي تأتي مع خادم الويب Apache.

    من الضروري مراقبة محتويات ذاكرة التخزين المؤقت لـ SQUID ومسحها بشكل دوري لتجنب تجاوز نظام الملفات باستخدام الأمر squid -Z.

    في إعدادات العميل في خصائص المتصفحات وعملاء ICQ، يجب عليك تحديد عنوان IP للخادم الوكيل والمنفذ. في مثالنا، هذا هو IP:192.168.1.8 والمنفذ 3128 (يتم استخدام هذا المنفذ افتراضيًا). لو برنامج اي سي كيوتم تكوينه للعمل من خلال خادم وكيل، فهو يستخدم منفذ TCP رقم 443، وليس منفذ TCP رقم 5190 لخوادم ICQ، والذي يجب أيضًا أخذه في الاعتبار عند تكوين جدران الحماية. عند استخدام SQUID، من الضروري منع قدرة الأجهزة المحلية على الوصول إلى منفذ TCP رقم 80 لخوادم الإنترنت. يمكنك بشكل عام السماح بالوصول فقط إلى منفذ الخادم الوكيل، وإغلاقه أمام جميع الآخرين، باستثناء البريد، حتى لا يذهب المستخدمون "المتقدمون" إلى الإنترنت متجاوزين SQUID.

    يمكنك التعرف على تعقيدات إعداد SQUID على موقع الويب http://www.bog.pp.ru/work/squid.html.

    تحليل حركة المرور

    ولهذا الغرض، يتم استخدام برنامج المحلل المجاني مفتوح المصدر SARG (). نتيجة عمله هي صفحات HTML التي تعرض جميع أنواع البيانات الإحصائية حول عمل المستخدمين على الإنترنت. يتم تحليل فترة السجل بأكملها، لذلك يكون من الملائم أكثر عمل الشرائح اللازمة في نهاية الشهر، ثم مسح سجل SQUID باستخدام أمر access.log.

    هناك نوعان من التخفيضات المطلوبة في أغلب الأحيان. أولا، توزيع حجم المعلومات التي تم تنزيلها من الإنترنت من قبل المستخدم، وعادة ما يتم فرزها بترتيب تنازلي للحجم (الشكل 3). كما يوفر معلومات كمية حول فعالية التخزين المؤقت. يتيح لك هذا المقطع العرضي تحليل حجم العمل على الإنترنت ككل وتصنيف المستخدمين وفقًا لنشاط عملهم على الإنترنت.

    تعرض الشريحة الشعبية الثانية المحملة مستخدم محددالمعلومات الموجودة على المواقع (الشكل 4)، مرتبة أيضًا بترتيب تنازلي لحجم البيانات. تتيح لك هذه الشريحة استخلاص المعلومات من المستخدم على الإنترنت ومعرفة ما إذا كانت المواقع الأكثر طلبًا تتوافق مع المسؤوليات الوظيفية للموظف.

    الاستنتاجات

    لقد نظرنا في خيارين للتنظيم اتصال دائمشبكة الشركة إلى الإنترنت.

    الخيار "استنادًا إلى عناوين IP لأجهزة كمبيوتر المستخدم التي تستخدم قواعد IPFW" له العيوب التالية. أولا، من المستحيل التحقق من مدى ملاءمة عمل المستخدم على الإنترنت، حيث أن IPFW يحسب فقط إجمالي حركة المرور لكل قاعدة موصوفة لجهاز معين، ولا يتتبع المواقع التي تمت زيارتها. ثانياً، من المستحيل السماح لمستخدم يعمل حالياً على الإنترنت. وهذا مهم بشكل خاص إذا كان الجهاز "مشتركًا" بين عدة مستخدمين. وأخيرًا، من الممكن للمستخدم انتحال عنوان IP.

    بالإضافة إلى ذلك، إذا كنت تستخدم خادمًا طرفيًا، فمن المستحيل مراعاة حركة المرور مستخدمين مختلفين، نظرًا لأنها تعمل جميعًا من نفس عنوان IP للخادم الطرفي.

    تعكس العيوب المدرجة ببساطة القيود المفروضة على المحاسبة وإدارة حركة المرور من خلال عناوين IP ونظام المحاسبة IPFW. ليس المقصود من IPFW قياس حركة مرور أجهزة المستخدم بشكل مباشر؛ بل هو أداة لحساب حركة مرور القناة.

    يتم توفير حل كامل وكامل للمشكلة من خلال نظام يستخدم بوابة مع نظام التشغيل FreeBSD وجدار حماية IPFW تم تكوينه وخادم وكيل SQUID مثبت عليه مع تمكين مصادقة ncsa_auth. يتيح لك استخدام خادم وكيل للتخزين المؤقت في شبكة الشركة توفير ما يصل إلى 10% من الدفع مقابل حركة المرور الشهرية وتسريع عملية تحميل الموارد التي تمت زيارتها بشكل متكرر بشكل كبير.

    جميع البرامج المستخدمة في هذا الحل مجانية. تكاليف دعمه ضئيلة، وكما تظهر الممارسة، فإن نظام FreeBSD+SQUID موثوق به تمامًا.

    يعد نظام SQUID، نظرًا لمرونته في التكوين وتوافر واجهات لتوصيل الوحدات الخارجية، قابلاً للتطوير بدرجة كبيرة. الخطأ في حساب حركة مرور HTTP مقارنةً بـ IP، المتأصل في SQUID، ليس أساسيًا؛ والأهم من ذلك بكثير هو أنه من الممكن تنظيم كمية موثوقة و مراقبة الجودةتشغيل المستخدم على الإنترنت عبر بروتوكولات HTTP وHTTPS وFTP والتمييز بين حقوق الوصول والأولويات.

    الخادم الوكيل قادر على العمل على جهاز منخفض الطاقة إلى حد ما، على سبيل المثال، مع معالج سيليرونتردد 1 جيجا هرتز وذاكرة 128 ميجا بايت و قرص صلب 20 جيجابايت (يتم تشغيل هذا التكوين حاليًا في مؤسستنا، ويخدم 30 مستخدمًا)، ويمكن أداء دور بوابة الوصول إلى IP (FreeBSD، IPFW، NATD) بواسطة كمبيوتر Pentium بسرعة 166 ميجاهرتز وذاكرة تبلغ 128 ميجابايت.

    قبل مناقشة مصادقة مستخدمي الشبكة، من الضروري وضع قواعد للتحكم في الوصول إلى الشبكة. لم تعد الشبكات كيانات متجانسة. في معظم الحالات هناك واحد نقطة خارجيةالوصول - الاتصال بالإنترنت عبر مزود خدمة الإنترنت ( مزود خدمة الإنترنت- مزود خدمة الإنترنت). ستحدد قواعد التحكم في الوصول إلى الشبكة متطلبات الأمان التي يجب تثبيتها عند نقاط دخول الشبكة.

    بوابات

    بواباتهي النقاط التي يتم عندها نقل حركة مرور الشبكة من شبكة المؤسسة إلى شبكة أخرى. بالنسبة لنقاط البوابة، يجب أن تأخذ قواعد التحكم في الوصول في الاعتبار طبيعة الشبكة التي تم تركيب الجسر عليها.

    • قواعد التحكم في الوصول للمكالمات الهاتفية الواردة والصادرة (الاتصال الهاتفي والاتصال الهاتفي الخارجي). يغطي متطلبات المصادقة. يعد إخفاء نقطة الوصول إلى شبكة الهاتف أمرًا صعبًا للغاية. لذلك، من المهم تحديد ضوابط لهذا الوصول. هناك العديد من الاعتبارات المتعلقة بقواعد الوصول، مثل إنشاء أجهزة المودم فقط للتعامل مع الإشارات الصادرة ( خارج الحدود فقط) للوصول إلى الطلب الخارجي. ومن الضروري كتابة بند قاعدي يصف استخدام الضوابط المناسبة.

      الجميع الوصول إلى الهاتففي الشبكة يجب أن تكون محمية باستخدام ضوابط مصادقة قوية. يجب تكوين أجهزة المودم للوصول عبر الطلب الهاتفي أو الطلب الهاتفي الخارجي، ولكن ليس كليهما مطلقًا. يجب أن يوفر مسؤول الشبكة إجراءات لضمان الوصول إلى أنظمة المودم. يجب على المستخدمين عدم تثبيت أجهزة المودم في نقاط أخرى على الشبكة دون فرض عقوبات مناسبة.

    • اتصالات خارجية أخرى. ممكن اتصالات مختلفةإلى الشبكة من خارج المنظمة. يمكن أن تنص القواعد على الوصول المباشر للعملاء إلى الشبكة من خلال شبكة افتراضية شبكة خاصة VPN(الشبكة الخاصة الافتراضية) ومن خلال امتدادات شبكة المؤسسة المعروفة بالشبكات الخارجية.
    • اتصال بالإنترنت. يختلف عن الاتصالات الأخرى لأن الناس يريدون الحصول عليها الوصول المفتوحعلى شبكة الإنترنت، في حين يتم توفير إذن الوصول من خلال خدمات المنظمة. وتتم مناقشة القواعد التي تحكم هذه الاتصالات في الفصل السادس، قواعد أمان الإنترنت.

    كما هو الحال مع أي قواعد، يجب أن تتوقع أنه ستكون هناك طلبات لتغيير قواعد التحكم في الوصول. وبغض النظر عن الأسباب التي تدعو إلى تعديل القواعد، ينبغي أن يكون من الممكن إجراء استثناءات للقواعد من خلال آلية مراجعة القواعد. إذا أنشأت السياسة لجنة لإدارة الأمن (راجع الفصل الثالث، مسؤوليات أمن المعلومات)، فقد يُطلب من اللجنة مراجعة القواعد.

    أي بوابة مقترح تركيبها على شبكة الشركة والتي قد تخالف القواعد أو الإجراءات المنصوص عليها في تلك القواعد لا يجوز تركيبها إلا بموافقة مسبقة من لجنة إدارة الأمن.

    الشبكات الخاصة الافتراضية والشبكات الخارجية

    إن الزيادة في عدد الشبكات في المؤسسة تجبرنا على البحث عن خيارات جديدة لربط المكاتب البعيدة والعملاء وتبسيط الوصول لأطراف الخدمة المقابلة أو الأطراف المقابلة المحتملة. وقد أدى هذا النمو إلى ظهور نوعين من الاتصالات الخارجية: الشبكات الخاصة الافتراضية ( VPN- الشبكة الافتراضية الخاصة) والشبكات الخارجية. الشبكات الافتراضية الخاصة هي طريقة غير مكلفةثَبَّتَ التواصل المعلوماتيبين قسمين أو أكثر من أقسام المنظمة الموجودة في مناطق مختلفة. تقوم المؤسسات بإنشاء شبكة VPN عن طريق ربط جميع الإدارات بالإنترنت وتثبيت الأجهزة التي ستقوم بتشفير وفك تشفير المعلومات في كلا الإدارتين المتصلتين مع بعضهما البعض. بالنسبة للمستخدمين، سيبدو العمل من خلال VPN كما لو أن كلا القسمين موجودان في نفس المنطقة ويعملان على شبكة واحدة.

    التحقق من سلطة الأنظمة المساعدة

    قبل أن نواصل، من المهم أن نتذكر أن كل من البوابات أو الأنظمة الداعمة هي نقطة دخول إلى شبكة المؤسسة. عند أي نقطة دخول، يجب التحقق من سلطة تدفق البيانات الداخلة والخارجة من الشبكة بطريقة ما. إحدى القضايا التي يجب مراعاتها هي متطلبات الترخيص اتصالات خارجيةلأنظمة الشبكات المساعدة. قد يكون هذا مشكلة للأنظمة المساعدة المتصلة باستمرار بالشبكة. بالنسبة لأنظمة الدعم هذه، من الضروري تحديد كيفية السماح بوجودها على الشبكة. في الواقع، حتى اتصالات الشبكة المؤقتة، مثل اتصالات المودم الواردة، يمكن أن يكون لها متطلبات مصادقة صارمة.

    لا ينبغي وصف متطلبات المصادقة في هذا القسم من القاعدة - حيث تتم مناقشتها في القسم التالي، "أمان تسجيل الدخول". هنا لا يسعنا إلا أن نشير إلى الحاجة إلى متطلبات المصادقة. ستتم مناقشة القواعد المتعلقة بمعايير المصادقة في القسم التالي. ومع ذلك، لضمان معالجة مسألة المصادقة للأنظمة المساعدة، فإن شرط القواعد الخاص بـ اتصالات الشبكة البينيةيمكنك إضافة ما يلي.

    يجب أن تتم مصادقة التطبيقات المطلوبة لتشغيل البوابات بواسطة الشبكة. إذا تعذرت مصادقة التطبيق نفسه، فسيتم توضيح قواعد المصادقة في هذا المستنديجب أن تنطبق على الأنظمة المساعدة المتصلة عبر البوابات.



    مقالات مماثلة
    أنواع
    • أجهزة التوجيه
    • الأقراص الصلبة
    • لا يتم تشغيله
    • الطابعات
    • الفرامل
    • يتجمد
    • الفيروسات
    • أجهزة لوحية
    المواد شعبية
    مقالات جديدة