Безопасность в Internet- Intranet



         

Управление доступом в Internet в корпоративных сетях


, #03/2000

Алексей Абсалямов

Internet становится неотъемлемой частью нашей жизни как удобный инструмент для работы. Сфера Internet-услуг в последние годы расширяется невероятно быстро, и теперь Сетью пользуются даже те компании и отдельные пользователи, у которых всего три года назад персональный компьютер был пределом мечтаний. Однако, как и любая другая хорошая вещь, Internet теряет все свои преимущества, если им начинают злоупотреблять.

На Западе проблема так называемого неделового использования Internet на рабочем месте стала настолько распространенной, что получила специальное название - киберслэкинг (CyberSlacking), а десятки компаний, разрабатывающих программное обеспечение, занялись системами управления доступом к Internet и выпустили целый ряд аппаратных и программных решений для управления доступом в Сеть. Программные продукты получили более широкое распространение, так как с ними проще работать и они значительно дешевле. Программу можно быстро установить, особенно если она работает на платформе Windows, а настроить ее способны не только технические специалисты, но и менеджеры, которым собственно, и нужна информация об использовании ресурсов Internet. Подобного рода продукты должны выполнять три основные задачи: отслеживать трафик, создавать отчеты об использовании ресурсов Сети и осуществлять управление доступом (см. также врезку ).

В этой статье я хотел бы остановиться на системе surfCONTROL, которая благодаря применению некоторых уникальных технологий завоевала более 30% рынка всего через два года после выхода первой версии. Производителем систем семейства surfCONTROL является британская корпорация JSB Software Technologies. Эта компания, созданная в 1985 г., известна как главный разработчик стандарта Windows Sockets. Рассмотрим основные функции системы.

Отслеживание трафика. Мониторинг, или отслеживание, сетевого трафика в surfCONTROL состоит из перехвата пакета, его анализа и записи полученной информации в базу данных. Анализируются далеко не все пакеты: администратор в зависимости от конкретной задачи может задавать мониторинг лишь отдельных пользователей по конкретным TCP/IP-протоколам. Протоколы задаются портами, а следовательно, система может работать со всеми службами Internet, от HTTP до технологий видеоконференций или VoiceOverIP. По умолчанию отслеживаются HTTP, ftp, SMTP, POP3, telnet. Чем больше протоколов контролируется, тем выше нагрузка на систему и тем мощнее должен быть выделенный под нее компьютер.

Несколько слов о мониторинге почтовых протоколов. surfCONTROL не раскрывает полностью содержимое почтовых сообщений, а только фиксирует отправителя, адресата, тему и время отправки сообщения. Технически ничто не мешает ввести также и анализ тела сообщения, однако возникшее на Западе течение против любого вмешательства в личную переписку привело к тому, что даже простой мониторинг действий пользователя становится подсудным делом. На своем Web-сайте компания JSB предупреждает корпоративных пользователей, что применение средств мониторинга в ряде штатов может быть признано незаконным.

Активность пользователей в surfCONTROL может учитываться несколькими способами в зависимости от структуры корпоративной сети и применения таких служб, как DHCP и WINS. Самый простой способ мониторинга - по IP-адресам пользователей - часто невозможно задействовать из-за работы сети с DHCP, что означает постоянное изменение IP-адресов компьютеров. В этом случае за точку отсчета взято либо имя компьютера (local hostname), либо имя пользователя (в доменах Windows NT или Novell NDS). Такая схема позволяет не только успешно работать с трафиком в сетях с динамическими IP-адресами, но и упрощает администрирование, заменяя малопонятные адреса именами компьютеров и пользователей.

Распознавание пользовательских имен не всегда происходит автоматически. Для получения имени пользователя surfCONTROL делает NetBIOS-запрос по MAC-адресу исследуемого компьютера. В единой сети такая схема успешно работает. Однако в том случае, если между surfCONTROL и компьютером пользователя работает маршрутизатор, приходится на каждый из контроллеров домена сети Windows NT устанавливать дополнительный агент. В комплект поставки surfCONTROL входит программное обеспечение Enterprise User Monitoring, которое устанавливается как на контроллер домена, так и на surfCONTROL. Когда происходит вход в домен, агент на контроллере домена посылает surfCONTROL информацию о пользователе на TCP/IP-порт 61695. Это и обеспечивает корректную обработку пользовательских имен в маршрутизируемых сетях. Важно отметить, что при применении этого метода соединения по порту 61695 должны быть разрешены.

Борьба с перегрузками. Время от времени в сетях возникают перегрузки. Каким бы мощным ни был компьютер, на котором установлена система surfCONTROL, все равно остается вероятность достижения потолка производительности и соответственно нарушения нормального функционирования. В таком случае разработчиками предусмотрена возможность корректного прекращения работы и ее восстановления через некоторое время, причем без вмешательства администратора. Специалисты JSB ввели в surfCONTROL специальный механизм защиты от перегрузок, который работает следующим образом: при возникновении перегрузки система автоматически переходит в так называемый сокращенный режим работы, т. е. записывает лишь основную информацию о действиях пользователя (IP-адреса и время) только по протоколам HTTP, ftp и NNTP. В случае, если и в таком режиме система не справляется с нагрузкой, мониторинг прекращается до тех пор, пока вся информация в кэше и во временных файлах на диске не будет записана в базу данных. После этого surfCONTROL автоматически стартует с записью предупреждающего сообщения в системный журнал Windows NT. Такая схема обеспечивает наиболее надежную защиту от сбоев в результате перегрузок и позволяет в кратчайшие сроки возобновить работу. SurfCONTROL поддерживает три режима записи в базу данных:




    Содержание  Назад  Вперед