Раздел: Документация

0 ... 46 47 48 49 50 51 52 ... 125

Фильтрация контента

В последние годы фильтрация контента стала «горячей темой». Администраторы получили возможность блокировать доступ пользователей внутренней сети к указанным сайтам. Одни продукты позволяют задавать список блокируемых сайтов, другие проверяют сетевой трафик и способны блокировать определенные слова или другие данные. В конце концов, сеть предназначена для того, чтобы сотрудники приносили компании прибыль, а не бродили по Web, просматривая «интересные» сайты.

Фильтрацию контента полезно применять не только ради того, чтобы сотрудники не отвлекались от работы. С ее помощью удается оградить компанию от ненужных судебных исков. Например, должна ли компания нести ответственность, если один из ее сотрудников загрузит из сети предосудительные материалы (скажем, порнографию или пропаганду ненависти) и продемонстрирует их кому-либо, кто сочтет их оскорбительными? Намного проще заранее предотвратить подобную ситуацию, чем потом пытаться справиться с ней. В результате сегодня технологии фильтрации и блокирования контента становятся все более популярными.

Поскольку proxy-сервер находится между клиентом и сервером, для него подходят следующие методы фильтрации и блокировки контента:

О блокирование URL. Можно блокировать (или регистрировать) доступ к определенным URL. Недостаток этого метода состоит в том, что адреса страниц в Internet часто меняются. Ежедневно добавляются тысячи дополнительных страниц, и занятый администратор не всегда в состоянии оценивать все новые сайты;

О блокирование категорий. Метод позволяет задавать категорию блокируемого контента, например сайты с эротическим содержанием или пропагандой ненависти;

О проверка вложений. Некоторые proxy-серверы могут быть настроены для блокирования приложений Java, элементов управления ActiveX и других объектов, которые служат для запуска приложений на локальном компьютере, а значит, всегда имеется риск, что они будут эксплуатироваться хакерами для получения доступа к компьютеру.

Программное обеспечение для блокирования контента несовершенно. Не следует полагаться на него как на единственное средство защиты сети от проникновения определенной информации. Даже если задан длинный список блокируемых URL, искушенный пользователь способен обойти это ограничение, указав в запросе IP-адрес сайта. Хуже того, IP-адреса записываются не только как десятичные числа, разделенные точками. В действительности IP-адрес представляет собой 32-битное число и выражается четырьмя числами, точки в которых поставлены просто для удобства. Большинство браузеров спокойно принимают IP-адрес в виде одного десятичного числа. Возьмем в качестве примера адрес 216.65.33.219. В двоичном виде он равен:

216 = 11011000 65 = 01000001

---

33 = 00100001 219 = 11011011

Объединив вышеприведенные значения в одну строку, получим число 11011000010000010010000111011011. Преобразуем его в десятичный формат: 3628147163. Следовательно, для доступа к Web-сайту с адресом 216.65.33.219 в большинстве браузеров достаточна любая из записей:

http://216.65.33.219

ИЛИ

http://3628147163

Не полагайтесь на блокирующее программное обеспечение как на единственное средство для защиты от «троянских коней» и вирусов. Программы, блокирующие такие приложения, выполняют проверку известных сигнатур вирусов. Они не в состоянии гарантировать защиту от новых вирусов до обновления базы данных программы. Кроме того, вирусы легко маскируются в сообщениях электронной почты. Поэтому следует установить антивирусное ПО на всех компьютерах в сети и запретить пользователям приносить какие-либо программы из дома (особенно на дискетах).

Регистрация и выдача предупреждений

Важная функция защиты, выполняемая proxy-серверами, которую не следует упускать из виду или воспринимать недостаточно серьезно, - возможность записывать информацию о своей работе. Некоторые proxy-серверы настраиваются так, чтобы выдавать предупреждения (например, извещать администратора по электронной почте, выводить сообщение на консоль) при наступлении определенных условий.

Proxy-серверы прикладного уровня обычно способны фиксировать больше различных сведений, чем канальные. Это связано с тем, что канальные proxy-серверы, подобно пакетным фильтрам, принимают решения только на основе IP-адреса и номера порта. Proxy-серверы прикладного уровня предназначены для работы с определенными службами и протоколами и записывают существенно больший объем информации, поскольку «понимают» работу службы или протокола.

Регистрация является важным компонентом аудита системы, proxy-сервера, файлового сервера или даже простой рабочей станции. В главе 8 эта тема рассматривается подробнее. Внимательно прочитайте документацию к proxy-серверу. Поэкспериментируйте с различными настройками регистрации, просматривая записанные данные, пока не освоитесь с информацией, которая может быть при этом перехвачена. Настройку регистрации действий в системе или приложении нельзя рассматривать как однократную операцию. При обычной ситуации сервер обычно настраивается так, чтобы фиксировалось только небольшое количество сведений, однако вы должны понимать работу механизмов регистрации, чтобы

---

быстро включить более подробную регистрацию, если у вас возникнет ощущение, что система подвергается атаке.

Клиенты

Для обеспечения прозрачного доступа к сетевым службам вам придется сделать одно из двух:

О либо перенастроить существующее клиентское ПО для работы с proxy-сервером;

О либо обновить клиентское ПО, если оно не обладает такой возможностью.

Если же ни то, ни другое невозможно, воспользуйтесь классическим proxy-сервером, например из TIS Internet Firewall Toolkit. Но это потребует обучения пользователей.

В большинство современных приложений встроена возможность работы через proxy-сервер. Например, Microsoft Internet Explorer настраивается так, чтобы все или некоторые запросы к сетевым службам выполнялись через proxy-сервер:

1.Выберите Tools => Internet Options (Сервис => Свойства Internet) в Internet Explorer. В появившемся диалоговом окне откройте вкладку Connections (Подключение) и щелкните мышью по кнопке LAN Settings (Настройки локальной сети).

2.В открывшемся диалоговом окне Local Area Network (LAN) Settings (Установки локальной сети) установите флажок Use a Proxy Server (Использовать proxy-сервер).

3.Введите IP-адрес и порт ргоху-сервера.

4.Установите флажок Bypass proxy server for local addresses (He использовать proxy-сервер для локальных адресов), если хотите разрешить клиенту обращаться к серверам в локальной сети напрямую.

5.При необходимости задать другой proxy-сервер или порт щелкните по кнопке Advanced (Дополнительно). На рис. 7.4 вы видите диалоговое окно Proxy Settings (Настройки proxy-сервера), позволяющее определить отдельные настройки для протоколов HTTP, Secure Server, FTP, Gopher и Socks. Если установить флажок Use the same proxy server for all protocols (Использовать один proxy-сервер для всех протоколов), то адрес и порт ргоху-сервера можно будет ввести только в первом поле.

6.В поле Exceptions (Исключения) перечислите серверы, к которым клиент должен обращаться напрямую, в обход ргоху-сервера. Отдельные адреса разделяются точкой с запятой.

7.После ввода всех настроек щелкните мышью по кнопке ОК.

В диалоговом окне Local Area Network (LAN) Settings можно также задать автоматическую настройку proxy-сервера при помощи созданного администратором командного файла. В больших сетях это снижает затраты времени на настройку.

0 ... 46 47 48 49 50 51 52 ... 125