Управление доступом в Internet в корпоративных сетях
Журнал "Windows 2000 Magazine", #03/2000 Алексей Абсалямов
Internet становится неотъемлемой частью нашей жизни как удобный инструмент для работы. Сфера Internet-услуг в последние годы расширяется невероятно быстро, и теперь Сетью пользуются даже те компании и отдельные пользователи, у которых всего три года назад персональный компьютер был пределом мечтаний. Однако, как и любая другая хорошая вещь, Internet теряет все свои преимущества, если им начинают злоупотреблять.
На Западе проблема так называемого неделового использования Internet на рабочем месте стала настолько распространенной, что получила специальное название - киберслэкинг (CyberSlacking), а десятки компаний, разрабатывающих программное обеспечение, занялись системами управления доступом к Internet и выпустили целый ряд аппаратных и программных решений для управления доступом в Сеть. Программные продукты получили более широкое распространение, так как с ними проще работать и они значительно дешевле. Программу можно быстро установить, особенно если она работает на платформе Windows, а настроить ее способны не только технические специалисты, но и менеджеры, которым собственно, и нужна информация об использовании ресурсов Internet. Подобного рода продукты должны выполнять три основные задачи: отслеживать трафик, создавать отчеты об использовании ресурсов Сети и осуществлять управление доступом (см. также врезку "Принципы мониторинга").
В этой статье я хотел бы остановиться на системе surfCONTROL, которая благодаря применению некоторых уникальных технологий завоевала более 30% рынка всего через два года после выхода первой версии. Производителем систем семейства surfCONTROL является британская корпорация JSB Software Technologies. Эта компания, созданная в 1985 г., известна как главный разработчик стандарта Windows Sockets. Рассмотрим основные функции системы.
Отслеживание трафика
Мониторинг, или отслеживание, сетевого трафика в surfCONTROL состоит из перехвата пакета, его анализа и записи полученной информации в базу данных. Анализируются далеко не все пакеты: администратор в зависимости от конкретной задачи может задавать мониторинг лишь отдельных пользователей по конкретным TCP/IP-протоколам. Протоколы задаются портами, а следовательно, система может работать со всеми службами Internet, от HTTP до технологий видеоконференций или VoiceOverIP. По умолчанию отслеживаются HTTP, ftp, SMTP, POP3, telnet. Чем больше протоколов контролируется, тем выше нагрузка на систему и тем мощнее должен быть выделенный под нее компьютер.
Несколько слов о мониторинге почтовых протоколов
surfCONTROL не раскрывает полностью содержимое почтовых сообщений, а только фиксирует отправителя, адресата, тему и время отправки сообщения. Технически ничто не мешает ввести также и анализ тела сообщения, однако возникшее на Западе течение против любого вмешательства в личную переписку привело к тому, что даже простой мониторинг действий пользователя становится подсудным делом. На своем Web-сайте компания JSB предупреждает корпоративных пользователей, что применение средств мониторинга в ряде штатов может быть признано незаконным.
Активность пользователей в surfCONTROL может учитываться несколькими способами в зависимости от структуры корпоративной сети и применения таких служб, как DHCP и WINS. Самый простой способ мониторинга - по IP-адресам пользователей - часто невозможно задействовать из-за работы сети с DHCP, что означает постоянное изменение IP-адресов компьютеров. В этом случае за точку отсчета взято либо имя компьютера (local hostname), либо имя пользователя (в доменах Windows NT или Novell NDS). Такая схема позволяет не только успешно работать с трафиком в сетях с динамическими IP-адресами, но и упрощает администрирование, заменяя малопонятные адреса именами компьютеров и пользователей.
Распознавание пользовательских имен не всегда происходит автоматически. Для получения имени пользователя surfCONTROL делает NetBIOS-запрос по MAC-адресу исследуемого компьютера. В единой сети такая схема успешно работает. Однако в том случае, если между surfCONTROL и компьютером пользователя работает маршрутизатор, приходится на каждый из контроллеров домена сети Windows NT устанавливать дополнительный агент. В комплект поставки surfCONTROL входит программное обеспечение Enterprise User Monitoring, которое устанавливается как на контроллер домена, так и на surfCONTROL. Когда происходит вход в домен, агент на контроллере домена посылает surfCONTROL информацию о пользователе на TCP/IP-порт 61695. Это и обеспечивает корректную обработку пользовательских имен в маршрутизируемых сетях. Важно отметить, что при применении этого метода соединения по порту 61695 должны быть разрешены.
Борьба с перегрузками
Время от времени в сетях возникают перегрузки. Каким бы мощным ни был компьютер, на котором установлена система surfCONTROL, все равно остается вероятность достижения потолка производительности и соответственно нарушения нормального функционирования. В таком случае разработчиками предусмотрена возможность корректного прекращения работы и ее восстановления через некоторое время, причем без вмешательства администратора. Специалисты JSB ввели в surfCONTROL специальный механизм защиты от перегрузок, который работает следующим образом: при возникновении перегрузки система автоматически переходит в так называемый сокращенный режим работы, т. е. записывает лишь основную информацию о действиях пользователя (IP-адреса и время) только по протоколам HTTP, ftp и NNTP. В случае, если и в таком режиме система не справляется с нагрузкой, мониторинг прекращается до тех пор, пока вся информация в кэше и во временных файлах на диске не будет записана в базу данных. После этого surfCONTROL автоматически стартует с записью предупреждающего сообщения в системный журнал Windows NT. Такая схема обеспечивает наиболее надежную защиту от сбоев в результате перегрузок и позволяет в кратчайшие сроки возобновить работу. SurfCONTROL поддерживает три режима записи в базу данных:
непосредственный, когда после анализа информация о пакете сразу передается в базу;
через временные файлы с автоматическим обновлением, когда после анализа информация записывается во временный файл на диске, а через некоторое время автоматически переносится в базу;
третий режим является аналогом второго с той лишь разницей, что перенос информации в базу данных выполняет администратор.
Очевидно, что первый режим - самый "скоростной", но он и самый ненадежный. При частых перегрузках рекомендуется принимать следующие меры:
использовать более мощный компьютер;
чаще архивировать базу данных, что ускоряет процесс записи новой информации;
отслеживать меньше информации (протоколов, компьютеров, доменов и т. д.). Возможно, в этом случае потребуется установка дополнительных компьютеров с surfCONTROL в разных частях сети;
записывать информацию во временный файл и переносить ее в базу данных через равные промежутки времени;
отключить распознавание DNS для рабочих станций и/или Web-сайтов, так как эта процедура создает определенную нагрузку на surfCONTROL.
ЭКРАН 1. Утилита управления surfCONTROL Monitor выводит основные сведения об использовании Internet.
Программы семейства surfCONTROL поставляются с двумя административными утилитами. Первая из них, surfCONTROL Monitor, позволяет выводить на экран информацию о ресурсах Internet и работающих пользователях. На Экране 1 в окне Sites находится список запрашиваемых Internet-ресурсов с указанием названий, IP-адресов, времени первого и последнего обращений, количества обращений и категории ресурса. Во втором окне Users находится список пользователей. Здесь выводятся имена пользователей и машин, за которыми они работают, IP-адреса рабочих станций, время первого и последнего запроса, а также (на рисунке этого нет) общее число обращений к ресурсам и группа, к которой относится пользователь. Последняя функция находит широкое применение в крупных компаниях, разделенных на отделы.
Окна Users и Sites тесно связаны между собой. Через контекстное меню в окне Users можно вызвать список всех ресурсов, просмотренных конкретным пользователем. То же действие, выполненное в окне Sites, вызовет список всех пользователей, обращавшихся в данному ресурсу Internet. Такой подход позволяет получить четкую картину использования Сети.
ЭКРАН 2. Вывод отчетов.
Формирование отчетов. В surfCONTROL для просмотра статистических данных за определенный период времени предусмотрена возможность создания нескольких десятков отчетов с графиками и диаграммами (см. Экран 2). Отчеты делятся на три вида: краткие, сравнительные и детальные. Краткие отчеты - это диаграммы и графики, представляющие основные показатели загрузки канала в Internet. К ним относятся, в частности, десятка самых активных пользователей и первые десять самых популярных Internet-ресурсов (см. Экран 3). Сравнительные отчеты позволяют оценивать использование Internet в процентном соотношении, например, сколько процентов от общего количества загруженных данных приходится на того или иного пользователя. Детальные отчеты наиболее сложны для анализа, однако могут дать точную информацию, скажем, о том, какой конкретно HTML-документ был просмотрен определенным пользователем в заданное время.
ЭКРАН 3. Пример отчета. Список десяти самых активных пользователей.
Все отчеты являются настраиваемыми. Это означает, что формировать их можно по отдельным пользователям, группам пользователей, протоколам, Web-сайтам и категориям Internet-ресурсов. Имеется возможность задать любой временной интервал, за который выводятся статистические данные. С помощью переключателя можно установить этот интервал равным сегодняшнему дню или текущей неделе, или задать точную дату и время.
Администраторы могут не только просматривать отчеты, но и экспортировать их в популярные форматы данных (Excel, HTML, Lotus 1-2-3, MS Word, RTF, простой текст и др.). В составе surfCONTROL имеется утилита Web Reporting, позволяющая публиковать отчеты в Internet при помощи Crystal Reports и Microsoft IIS.
Фильтрация трафика
Наконец, мы подошли к самому интересному - организации управления доступом в Internet. Рассмотрим, как реализован механизм фильтрации трафика и блокирования доступа.
Как уже было сказано, surfCONTROL не пропускает через себя IP-пакеты, а лишь наблюдает за ними "со стороны". В связи с этим сам принцип блокирования доступа несколько иной, нежели в proxy-серверах. Суть его в том, что surfCONTROL пассивно наблюдает за пакетами, но лишь до тех пор, пока они не нарушают так называемые правила доступа. Как только это происходит, surfCONTROL отсылает в сторону сервера, расположенного в Internet, IP-пакет от имени компьютера-клиента о разрыве соединения, а в сторону пользователя такое же сообщение, но от имени сервера. Со стороны человеку, вооруженному тем же Network Monitor, будет казаться, что запрашиваемый сервер по непонятной причине разрывает соединение. Но обычно администратор создает сообщение о причине запрета доступа, которое выводится как HTML-страница в браузере.
Объектом правила доступа может быть не только отдельный компьютер, определяемый IP- или MAC-адресом, но и группы компьютеров, пользователи Windows NT, домены, подсети и протоколы. Это открывает практически неограниченные возможности для конфигурации правил, а значит, и формирования корпоративной политики доступа в Internet.
При нарушении правил доступа, помимо разрыва соединения между пользовательским компьютером и сервером происходит запись этого события в базу данных. Просматривая позднее отчеты по заблокированным соединениям, можно оценить эффективность работы surfCONTROL. Администратор также имеет возможность настроить surfCONTROL таким образом, чтобы при нарушении правил доступа на его адрес электронной почты отправлялось соответствующее уведомление.
ЭКРАН 4. Утилита surfCONTROL Rules Administrator (администратор правил доступа). Пример задания правил доступа.
Администрирование surfCONTROL
Специалисты компании JSB поставили перед собой задачу сделать так, чтобы создавать и читать правила доступа мог любой человек, знакомство которого с компьютером ограничивается Microsoft Word и Excel. На Экране 4 показано, что правила бывают разрешающими (зеленого цвета) или запрещающими (красного цвета) и составляются из объектов трех видов: Who - это пользователи или списки пользователей, которых можно выбирать из готового списка, либо определять вручную, задавая их IP-адрес; Where - это Internet-ресурсы, их списки или категории; Time - это временные интервалы с днями недели. Ничего сложного в создании правил нет: с помощью мыши объект переносится на правило и задается его роль, запрещающая или разрешающая. Небольшая хитрость заключается в том, что surfCONTROL "читает" правила сверху вниз. Обратным действием правила не обладают: если правило, находящееся на более высокой позиции, разрешает доступ, следующее правило не может его запретить. Такая система обеспечивает большую гибкость в определении прав доступа. Рассмотрим пример: пусть нам нужно запретить доступ к Web-сайтам для взрослых всем пользователям в любое время. Для этого мы создаем соответствующее запрещающее правило и помещаем его на первое место. Два следующих правила доступа разрешают и запрещают доступ в Internet в любое время пользователям Juliep.sample.com и Alex соответственно. Однако Juliep .sample.com не сможет получить доступ к Adult-сайтам, поскольку правило, запрещающее доступ к ним, находится выше разрешающего. Таким образом, Juliep.sample.com получит доступ в Internet в любое время ко всем Internet-ресурсам, исключая Web-сайты для взрослых.
Руководители компаний могут разрешать своим сотрудникам свободный доступ в Internet во время перерыва. Реализовать это позволяет следующее правило. По рабочим дням с 13 до 14 часов все желающие смогут получить доступ ко всем ресурсам, за исключением Adult-сайтов. В рабочее время надо работать, поэтому доступ к спортивным, новостным и развлекательным Web-ресурсам в это время запрещен другим правилом.
Предположим, что у компании имеется модемный пул, и ее сотрудники могут работать с Internet, находясь дома. А по выходным вся их работа ограничивается лишь получением и отправкой почты. Как запретить доступ в Internet по выходным дням всем сотрудникам, оставив при этом возможность работы с почтой? Очень просто! Следующие два системных правила реализуют эту идею. Сначала мы разрешаем доступ по почтовым протоколам SMTP и POP3 по выходным, а затем запрещаем выход в Internet в этот промежуток времени. Задача решена.
Несколько слов о завершающем правиле доступа
Дело в том, что фильтрация трафика бывает запрещающей и разрешающей. В первом случае работа идет по принципу "Все запрещено, что не разрешено", а во втором наоборот - "Все разрешено, что не запрещено". Системные правила, показанные на Экране 4, реализуют второй тип. Становится понятным и последнее разрешающее правило: если действие пользователя не может быть классифицировано, ему предоставляется доступ ко всем ресурсам в любое время по умолчанию. В случае фильтрации второго типа мы могли бы составить правило, разрешающее доступ к Web-сайтам компьютерной тематики, а завершающим правилом запретить всем и все.
Классификация Web-сайтов
Около года назад JSB представила на рынке технологию так называемых контрольных списков. Списки представляют собой базу данных с огромным количеством ссылок на Web-сайты (в настоящее время около миллиона), каждая из которых содержит категорию ресурса. Используя такую базу данных, администратор может задавать доступ к целой группе ресурсов так же легко, как и к одному сайту, - "перетаскиванием" категории на правило доступа. И именно благодаря контрольным спискам возможна запрещающая фильтрация: компания, специализирующаяся, скажем, в области фармакологии, разрешает доступ к сайтам соответствующей категории и закрывает все остальные. Как показала практика, эта модель при всех ее явных недостатках работает эффективнее, нежели разрещающая фильтрация.
В настоящее время JSB поставляет две большие базы данных ресурсов Internet: так называемый общий список (General List) и список "Web для Дела" (Web4Business). Обе базы данных регулярно пополняются новыми сайтами, а их обновление происходит через Internet примерно так же, как обновляются обычные антивирусные средства: загружается либо вся база данных полностью, либо только дополнения, которые автоматически добавляются к базе. Общий список содержит около 800 тыс. ссылок на сайты с такими категориями, как "Новости", "Развлечения", "Спорт", "Финансы", "Сайты для взрослых", "Информационные технологии" и т. д. Список "Web для Дела" более специализирован. В нем находятся ссылки на деловые и технические ресурсы с их классификацией по Стандартному Коду Отрасли Промышленности (Standard Industry Sector Code, SIC), принятому в США. Доступ к обновлениям обоих списков предоставляется при наличии годовой подписки. Всем покупателям surfCONTROL предоставляется бесплатная годовая подписка на обновления списка General List.
Помимо контрольных списков в surfCONTROL предусмотрена функция обработки ключевых слов. Так называемая технология SmartScan, постепенно вытесняемая списками, позволяет определять права доступа на основе условия присутствия либо отсутствия в адресе ресурса того или иного ключевого слова. К примеру, можно без труда заблокировать доступ ко многим порнографическим сайтам путем определения ключевого слова "ххх", входящего в состав адреса многих ресурсов вышеозначенной категории. К сожалению, нельзя быть уверенным в том, что, пользуясь SmartScan, мы не запретим доступ к нужному Web-сайту. Это и есть основная причина ограниченности сферы применения SmartScan по сравнению со списками.
Недавно корпорация JSB представила новую технологию, которая, похоже, станет очередной вехой на пути к действительно интеллектуальной фильтрации трафика. Суть новой разработки состоит в применении механизма искусственного интеллекта, поставляемого независимым производителем. С его помощью система определяет, к какой категории относится Web-сайт, ориентируясь не на статическую базу данных (контрольные списки), а анализируя содержание ресурса. Более того, речь идет даже не о поиске ключевых слов: приниматься во внимание будут не отдельные слова или фразы, а то, как они используются, т. е. стиль. Новая технология, которая, как обещается, обеспечит почти стопроцентно корректное определение категории Web-сайта, будет представлена в новой версии систем surfCONTROL.
Технические требования
Коротко обозначу основные технические характеристики систем. Начнем с операционной системы - это Windows NT 4.0 или Windows 2000. SurfCONTROL работает с двумя базами данных: Access и Microsoft SQL Server 7.0. Специалисты JSB рекомендуют переходить на базу данных SQL в случае высокой нагрузки на систему. Что касается минимальных системных требований, то для Windows NT 4.0 это Pentium 200 с оперативной памятью объемом 64 Мбайт. Если surfCONTROL работает под управлением Windows 2000, требования определяются этой операционной системой и превышают требования самой surfCONTROL.
Отмечу, что SurfCONTROL - это комплект из четырех продуктов, призванных решать одну и ту же задачу: Scout, SuperScout, surfCONTROL for Microsoft Proxy Server и surfCONTROL for CheckPoint Firewall-1. Различие между Scout и SuperScout одно: Scout только отслеживает трафик в Internet и выводит отчеты, тогда как SuperScout позволяет управлять доступом. В то же время Scout значительно дешевле и доступен по цене даже небольшим компаниям. Два других продукта - это надстройки над MS Proxy Server и CheckPoint Firewall-1, расширяющие их функциональность в области управления доступом. Стоит отметить, что эти надстройки уже работают не по принципу сниффера, а получают информацию от базовых продуктов, работая с ними в паре и образуя сетевое "горлышко". Различий в интерфейсе у всех четырех продуктов практически нет.
Цены и приобретение
Цены на surfCONTROL варьируются в зависимости от количества приобретаемых лицензий. Лицензия определяет наибольшее количество одновременно контролируемых (а значит, и управляемых) компьютеров в сети. Если приобретается лицензия на 250 компьютеров, это означает, что одновременно будет обслуживаться только 250 компьютеров, выбранных администратором.
surfCONTROL Scout, обеспечивающий лишь мониторинг сети и не фильтрующий трафик, стоит 99 долларов за лицензию на 20 компьютеров. SuperScout - ведущий продукт компании - стоит 650 долларов за лицензию на 50 пользователей. Цены на surfCONTROL для Proxy Server и surfCONTROL для Firewall-1, надстройки над соответствующими программными средствами, составляют 300 и 295 долларов за 50- и 20-пользовательскую версию соответственно. Более подробную информацию о продуктах surfCONTROL можно получить на Web-сервере: www.surfcontrol.ru
Об авторе:
Алексей Абсалямов - технический консультант в учебном центре ИТ АНХ РФ. С ним можно связаться по адресу: alex@ane.ru.
Принципы мониторинга
Методика мониторинга сетевого трафика в продуктах данного назначения различна. Более половины предлагаемых программных средств представляют собой простые анализаторы файлов журнала proxy-сервера, в то время как остальные сами являются такими серверами со статистическими функциями и возможностью блокирования тех или иных IP-адресов по принципу сетевого "горлышка" (Pass-Through), через которое проходит трафик в Internet. В отличие от них продукт от JSB лишь проверяет пакеты, проходящие через сетевую карту. Эта технология называется сниффером (Pass-By). Она начала использоваться с того момента, как сетевые адаптеры начали поддерживать расширенный режим работы, т. е. у них появилась возможность перехватывать любые пакеты в сети. Применение именно такого способа снимает сразу несколько проблем: во-первых, сама собой отпадает необходимость в дополнительной настройке пользовательских компьютеров - они будут продолжать работать как обычно, даже не подозревая о контроле за их действиями в Internet. Во-вторых, не замедляется работа сети. По сравнению с proxy-сервером, который становится узким местом, сниффер не оказывает отрицательного воздействия на сеть. Но есть и минусы. Например, при превышении определенного уровня загрузки сети система может перестать справляться со своей задачей и начать пропускать пакеты. Как эта проблема была решена в surfCONTROL, рассказано в статье, а пока я добавлю, что этот недостаток имеет и оборотную сторону: ведь при выходе из строя системы слежения пользователи, хоть и бесконтрольно, но продолжают работу в Internet. Если же выходит из строя proxy-сервер, доступ прекращается. К недостаткам метода сниффера можно отнести и то, что при работе в сетях, разделенных маршрутизаторами, может возникнуть необходимость в установке нескольких систем surfCONTROL. Дело в том, что программа способна отслеживать лишь тот трафик, который проходит через сетевой адаптер системы. Если же пользовательские пакеты выходят в Internet разными путями, часть информации может быть потеряна. Для обеспечения ее целостности и достоверности придется установить по одной системе в каждый сегмент сети.
Сколько стоит киберслэкинг
Какой вред может нанести киберслэкинг современной компании?
Злоупотребление Internet всегда означает снижение производительности труда служащих, часть рабочего времени которых уходит на просмотр развлекательных ресурсов.
Значительно увеличивается входящий Internet-трафик, что приводит, с одной стороны, к увеличению расходов компании (провайдеры чаще всего берут определенную плату при превышении лимита загруженных данных), а с другой - к снижению производительности корпоративной сети.
Чтобы приблизительно оценить ежемесячные дополнительные расходы компании на Internet, проведем небольшой расчет. Пусть в организации, подключенной по выделенному каналу, с Internet работает 10 сотрудников. Предположим, что ежедневно пять из них тратят около двух часов в Internet "не по делу". Сделаем еще несколько допущений: средняя заработная плата сотрудников - 200 долларов в месяц, рабочая неделя составляет 40 часов, а за дополнительный Internet-трафик компания платит 5 центов за каждый мегабайт. Рабочий час сотрудника, согласно сделанным предположениям, стоит 1,25 доллара. Тогда из-за неделового использования Сети компания потеряет 1,25х2х5х5х4=250 долларов в месяц. В среднем, при скоростном подключении к Internet за час работы можно загрузить 5 и более мегабайт. Из расчета 5 Мбайт в час получаем дополнительный трафик 5х2х5х5х4=1000 мегабайт в месяц. По среднерыночным ценам такой дополнительный трафик обойдется компании еще в 50 долларов ежемесячно. Итак, потери от всего лишь 5 сотрудников можно оценить в 300 долларов. Таким образом, становится очевидно, что бороться со злоупотреблением Internet нужно. Осталось только решить, каким образом.
|