Контроль трафика

Сегодня использование интернет-ресурсов стало жизненной необходимостью для большинства компаний. Это и глобальная справочно-информационная система, и способ доступа к технологиям, и транспорт для передачи данных, и, наконец, оперативное и доступное средство коммуникации.

Поскольку интернет является каналом во внешний мир, он и стал источником опасности для компаний. Именно с его помощью сегодня распространяются черви, вирусы и прочий вредоносный код. Так же, зачастую, с его же помощью происходит утечка конфиденциальных данных за пределы офиса.

Еще одной, пусть и не такой явной, угрозой есть нецелевое использование интернета на рабочем месте. Зачастую сотрудники используют корпоративный интернет для онлайн игр, посещения развлекательных сайтов, для закачки фильмов и музыки и т.д. Кроме того, что эти действия отвлекают сотрудника от работы, ими еще и замусоривается интернет-канал, препятствуя нормальной работе офиса.

Для предотвращения заражения компьютеров внутри сети и контроля за использованием интернет-ресурсов сегодня существует огромное количество программных комплексов от разных производителей. Это и IWSS от Trend Micro, и Kerio WinRoute Firewall, и WebSence WebSecurity Suit, и многие другие. Однако, кроме всего прочего, эти продукты имеют значительный недостаток - стоимость покупки и продления. При этом, зачастую, приходится платить не только за использование самого защитного комплекса, но и за операционную систему, на которой это все будет разворачиваться.

К сожалению на сегодняшний день большинство системных администраторов не хотят или не могут полноценно использовать возможности Open Source решений, предпочитая закупать и разворачивать исключительно коммерческие системы.

Теперь сформулируем еще раз по пунктам задачи, которые стоят перед системой контроля трафика на корпоративном гейте:
  1. Проверка трафика на вирусы.
  2. Блокирование доступа к нежелательным сайтам.
  3. Блокирование рекламных банеров.
  4. Блокирование трафика, запрещенного в сети.
  5. Просмотр статистики использования интернета.
Схема-контроль-трафика.jpg

 То есть схема работы гейта должна выглядеть примерно вот так:

Сейчас все эти задачи можно решить и при помощи продуктов Open Source. При этом есть возможность использовать и исключительно бесплатные решения, и коммерческие, и, кроме всего прочего, модульно подключать пропиетарные коммерческие программы.

В качестве примера можно взять работающую связку Open Source решений.

В качестве корпоративного гейта в интернет используется сервер на базе Debian GNU Linux с установленными на нем DansGuardian, L7-Filter, ClamAV и Sarg.

На этом сервере DansGuardian отвечает за контентную фильтрацию трафика и блокировку нежелательных сайтов. У него есть базы ключевых слов на различные тематики сайтов, есть возможность использовать черные и белые списки, а так же имеется возможность резать интернет-рекламу (банеры).

Для уменьшения нагрузки на сервер к нему можно купить постоянно обновляющуюся базу классификационных списков сайтов. В таком случае не будет необходимости проверять контент сайта и обращение будет блокироваться по его имени. Кроме всего прочего, в DansGuardian предусмотрена защита от подмены доменного имени сайта его IP-адресом.

Сюда же и подключается антивирус. Тут у системного администратора открывается очень широкий выбор. Можно использовать стандартный для Linux открытый и бесплатный антивирус ClamAV, а можно установить решение другого вендора. Например Антивирус Касперского, или DrWeb. Так же с помощью DansGuardian можно ограничивать загрузку файлов по расширениям или mime-типам.

Для просмотра статистики можно использовать Sarg, который показывает ее через веб-консоль. Статистика группируется по временным интервалам. Так же можно просмотреть отдельно статистику по пользователю, списку заблокированных загрузок и т.д.

Для контроля трафика на уровне протоколов используется модуль L7-Filter. Он подключается к стандартному в Linux пакетному фильтру IPTables и может отслеживать и блокировать большое количество разнообразных протоколов, например AIM, GoogleTalk, worldof warkraft, imap, pop3 и многие другие.

При использовании L7-Filter у администратора появляется возможность максимально гибко управлять доступом пользователей к сети. Есть возможность, например, запретить выход в интернет онлайн-игрушек и Skype, но при этом разрешать пользоваться ICQ.

Загрузку файлов различного типа можно блокировать и на этом уровне тоже. При этом уже не будет иметь значение, какое расширение имеет файл и какой mime-тип присвоил ему сервер. При закачке файла будет проверена сигнатура и, в случае совпадения, файл заблокируется после загрузки первого же килобайта.

Таким образом мы видим, что задача контроля трафика вполне решается при помощи бесплатных OpenSource продуктов.