Безопасность в Internet- Intranet



         

Управление доступом в Internet в корпоративных сетях - часть 4


ЭКРАН 4. Утилита surfCONTROL Rules Administrator (администратор правил доступа). Пример задания правил доступа.

Администрирование surfCONTROL. Специалисты компании JSB поставили перед собой задачу сделать так, чтобы создавать и читать правила доступа мог любой человек, знакомство которого с компьютером ограничивается Microsoft Word и Excel. На Экране 4 показано, что правила бывают разрешающими (зеленого цвета) или запрещающими (красного цвета) и составляются из объектов трех видов: Who - это пользователи или списки пользователей, которых можно выбирать из готового списка, либо определять вручную, задавая их IP-адрес; Where - это Internet-ресурсы, их списки или категории; Time - это временные интервалы с днями недели. Ничего сложного в создании правил нет: с помощью мыши объект переносится на правило и задается его роль, запрещающая или разрешающая. Небольшая хитрость заключается в том, что surfCONTROL "читает" правила сверху вниз. Обратным действием правила не обладают: если правило, находящееся на более высокой позиции, разрешает доступ, следующее правило не может его запретить. Такая система обеспечивает большую гибкость в определении прав доступа. Рассмотрим пример: пусть нам нужно запретить доступ к Web-сайтам для взрослых всем пользователям в любое время. Для этого мы создаем соответствующее запрещающее правило и помещаем его на первое место. Два следующих правила доступа разрешают и запрещают доступ в Internet в любое время пользователям Juliep.sample.com и Alex соответственно. Однако Juliep .sample.com не сможет получить доступ к Adult-сайтам, поскольку правило, запрещающее доступ к ним, находится выше разрешающего. Таким образом, Juliep.sample.com получит доступ в Internet в любое время ко всем Internet-ресурсам, исключая Web-сайты для взрослых.

Руководители компаний могут разрешать своим сотрудникам свободный доступ в Internet во время перерыва. Реализовать это позволяет следующее правило. По рабочим дням с 13 до 14 часов все желающие смогут получить доступ ко всем ресурсам, за исключением Adult-сайтов. В рабочее время надо работать, поэтому доступ к спортивным, новостным и развлекательным Web-ресурсам в это время запрещен другим правилом.

Предположим, что у компании имеется модемный пул, и ее сотрудники могут работать с Internet, находясь дома. А по выходным вся их работа ограничивается лишь получением и отправкой почты. Как запретить доступ в Internet по выходным дням всем сотрудникам, оставив при этом возможность работы с почтой? Очень просто! Следующие два системных правила реализуют эту идею. Сначала мы разрешаем доступ по почтовым протоколам SMTP и POP3 по выходным, а затем запрещаем выход в Internet в этот промежуток времени. Задача решена.

Несколько слов о завершающем правиле доступа. Дело в том, что фильтрация трафика бывает запрещающей и разрешающей. В первом случае работа идет по принципу "Все запрещено, что не разрешено", а во втором наоборот - "Все разрешено, что не запрещено". Системные правила, показанные на Экране 4, реализуют второй тип. Становится понятным и последнее разрешающее правило: если действие пользователя не может быть классифицировано, ему предоставляется доступ ко всем ресурсам в любое время по умолчанию. В случае фильтрации второго типа мы могли бы составить правило, разрешающее доступ к Web-сайтам компьютерной тематики, а завершающим правилом запретить всем и все.

Классификация Web-сайтов. Около года назад JSB представила на рынке технологию так называемых контрольных списков. Списки представляют собой базу данных с огромным количеством ссылок на Web-сайты (в настоящее время около миллиона), каждая из которых содержит категорию ресурса. Используя такую базу данных, администратор может задавать доступ к целой группе ресурсов так же легко, как и к одному сайту, - "перетаскиванием" категории на правило доступа. И именно благодаря контрольным спискам возможна запрещающая фильтрация: компания, специализирующаяся, скажем, в области фармакологии, разрешает доступ к сайтам соответствующей категории и закрывает все остальные. Как показала практика, эта модель при всех ее явных недостатках работает эффективнее, нежели разрещающая фильтрация.

В настоящее время JSB поставляет две большие базы данных ресурсов Internet: так называемый общий список (General List) и список "Web для Дела" (Web4Business). Обе базы данных регулярно пополняются новыми сайтами, а их обновление происходит через Internet примерно так же, как обновляются обычные антивирусные средства: загружается либо вся база данных полностью, либо только дополнения, которые автоматически добавляются к базе. Общий список содержит около 800 тыс. ссылок на сайты с такими категориями, как "Новости", "Развлечения", "Спорт", "Финансы", "Сайты для взрослых", "Информационные технологии" и т. д. Список "Web для Дела" более специализирован. В нем находятся ссылки на деловые и технические ресурсы с их классификацией по Стандартному Коду Отрасли Промышленности (Standard Industry Sector Code, SIC), принятому в США. Доступ к обновлениям обоих списков предоставляется при наличии годовой подписки. Всем покупателям surfCONTROL предоставляется бесплатная годовая подписка на обновления списка General List.

Помимо контрольных списков в surfCONTROL предусмотрена функция обработки ключевых слов. Так называемая технология SmartScan, постепенно вытесняемая списками, позволяет определять права доступа на основе условия присутствия либо отсутствия в адресе ресурса того или иного ключевого слова. К примеру, можно без труда заблокировать доступ ко многим порнографическим сайтам путем определения ключевого слова "ххх", входящего в состав адреса многих ресурсов вышеозначенной категории. К сожалению, нельзя быть уверенным в том, что, пользуясь SmartScan, мы не запретим доступ к нужному Web-сайту. Это и есть основная причина ограниченности сферы применения SmartScan по сравнению со списками.

Недавно корпорация JSB представила новую технологию, которая, похоже, станет очередной вехой на пути к действительно интеллектуальной фильтрации трафика. Суть новой разработки состоит в применении механизма искусственного интеллекта, поставляемого независимым производителем. С его помощью система определяет, к какой категории относится Web-сайт, ориентируясь не на статическую базу данных (контрольные списки), а анализируя содержание ресурса. Более того, речь идет даже не о поиске ключевых слов: приниматься во внимание будут не отдельные слова или фразы, а то, как они используются, т. е. стиль. Новая технология, которая, как обещается, обеспечит почти стопроцентно корректное определение категории Web-сайта, будет представлена в новой версии систем surfCONTROL.

Технические требования. Коротко обозначу основные технические характеристики систем. Начнем с операционной системы - это Windows NT 4.0 или Windows 2000. SurfCONTROL работает с двумя базами данных: Access и Microsoft SQL Server 7.0. Специалисты JSB рекомендуют переходить на базу данных SQL в случае высокой нагрузки на систему. Что касается минимальных системных требований, то для Windows NT 4.0 это Pentium 200 с оперативной памятью объемом 64 Мбайт. Если surfCONTROL работает под управлением Windows 2000, требования определяются этой операционной системой и превышают требования самой surfCONTROL.

Отмечу, что SurfCONTROL - это комплект из четырех продуктов, призванных решать одну и ту же задачу: Scout, SuperScout, surfCONTROL for Microsoft Proxy Server и surfCONTROL for CheckPoint Firewall-1. Различие между Scout и SuperScout одно: Scout только отслеживает трафик в Internet и выводит отчеты, тогда как SuperScout позволяет управлять доступом. В то же время Scout значительно дешевле и доступен по цене даже небольшим компаниям. Два других продукта - это надстройки над MS Proxy Server и CheckPoint Firewall-1, расширяющие их функциональность в области управления доступом. Стоит отметить, что эти надстройки уже работают не по принципу сниффера, а получают информацию от базовых продуктов, работая с ними в паре и образуя сетевое "горлышко". Различий в интерфейсе у всех четырех продуктов практически нет.

Цены и приобретение. Цены на surfCONTROL варьируются в зависимости от количества приобретаемых лицензий. Лицензия определяет наибольшее количество одновременно контролируемых (а значит, и управляемых) компьютеров в сети. Если приобретается лицензия на 250 компьютеров, это означает, что одновременно будет обслуживаться только 250 компьютеров, выбранных администратором.

surfCONTROL Scout, обеспечивающий лишь мониторинг сети и не фильтрующий трафик, стоит 99 долларов за лицензию на 20 компьютеров. SuperScout - ведущий продукт компании - стоит 650 долларов за лицензию на 50 пользователей. Цены на surfCONTROL для Proxy Server и surfCONTROL для Firewall-1, надстройки над соответствующими программными средствами, составляют 300 и 295 долларов за 50- и 20-пользовательскую версию соответственно. Более подробную информацию о продуктах surfCONTROL можно получить на Web-сервере:




Содержание  Назад  Вперед