Вход в социалки — на амбарный замок

Вход в социалки — на амбарный замокРабочий день большинства юзеров начинается с просмотра сообщений в «Одноклассниках», чтения новостей и посещения любых других ресурсов, не связанных с выполнением своих служебных обязанностей. Некоторое время начальство смотрит на это сквозь пальцы, но в один прекрасный момент поступает команда: «Все блокировать!».

Подручные средства Windows

Встроенный в последние версии Windows брандмауэр в режиме повышенной безопасности уже обладает достаточным функционалом, позволяющим заблокировать нужный порт и удаленный IP-адрес для входящих и исходящих соединений. Очень удобно, что настройки advfirewall производятся не только в консоли MMC (локально или удаленно), но и посредством групповых политик. Так, в доменной среде можно применять единые установки, которые автоматически устанавливаются и распространяются с одной точки. Для решения поставленной задачи может подойти и netsh, поскольку он умеет управлять правилами встроенного брандмауэра и поддерживает возможность выполнения команд на удаленном хосте. Причем созданные в netsh профили можно экспортировать в файлы с расширением *.wfw, а затем применить на все системы локальной сети. Нужно признать, что настройку advfirewall нельзя назвать прозрачной. Более того, блокировку по IP лучше подкреплять запретом по URL, однако такой возможности разработчики не предусмотрели.

Хотя здесь вспоминаем, что IE позволяет задать список сайтов, которые должны блокироваться: достаточно открыть браузер, щелкнуть в строке состояния в поле Безопасность, в окне настроек выбрать «Ограниченные узлы» и нажать кнопку «Узлы», чтобы добавить адреса.

Еще один вариант блокировки сайтов — использование службы DNS. Это может быть как сервер в локальной сети, который будет выдавать неправильные IP на определенные сайты, так и файл HOSTS (обычно лежит по адресу c:\Windows\System32\drivers\etc\hosts) на клиентском компьютере. С последним вариантом все просто:

127.0.0.1 odnoklassniki. ru

127.0.0.1 www. odnoklassniki. ru

То есть при запросе «Одноклассников» браузер получит адрес локальной системы, и, по сути, запрос заблокируется.

Kerio Winroute

В современных сетях для организации совместного доступа в интернет и защиты внутренней сети часто используется Kerio WinRoute, умеющий блокировать любой трафик, определенный админом. В состав продукта включен целый ряд компонентов: файервол с функциями NAT, прокси и VPN-сервер, антивирусный модуль, распределение нагрузки, блокировка P2P-трафика и многое другое. Подробно о KWF уже рассказывалось в статье «Марш-бросок в большую сеть», опубликованной в сентябрьском номере ][ за 2007 год, поэтому остановимся лишь на функциях блокировки доступа к сайтам.

Начнем с самого простого — фильтрации содержимого. Эта фича настраивается при помощи простых правил во вкладке «Конфигурация -> Фильтрация содержимого». В KWF включено несколько компонентов, при помощи которых задаются политики, позволяющие блокировать доступ к определенным URL по протоколам HTTP и FTP на основании шаблона. Шаблон адреса можно задать прямо в правиле фильтрации, но это неудобно. При наличии нескольких шаблонов, к которым необходимо применить одно действие, придется добавлять несколько правил, что еще более усложняет процесс. Учитывая, что админ даже для небольшой сети формирует большое количество правил, придется потом долго искать нужное, если понадобится что-то изменить.

Поэтому переходим в «Определения -> Группы URL», где содержатся шаблоны URL, разбитые на группы. По умолчанию здесь четыре группы, назначение которых понятно из названия — Ads/banners, Search engines, Automatic Updates и Windows Update. Добавим свою группу. Нажимаем кнопку «Добавить», появляется окно, в котором заполняем название (например, Social network), выбираем тип (URL или Группа URL) и в поле адреса вписываем:

odnoklassniki. ru/*

Вносим еще одно правило в эту группу, чтобы перекрыть все варианты адреса:

*.odnoklassniki. ru/*

И добавляем все адреса социальных сетей и других ресурсов, к которым нужно закрыть доступ. Не забываем про сайты, где публикуются зеркала для «Одноклассников», «ВКонтакте» и подобных (а-ля dostupest. ru ). При необходимости блокировать загрузку через HTTP определенных типов файлов создаем для них группы и шаблоны.

Во вкладке «Группы адресов» задаем айпишник или диапазон адресов, который затем будем использовать в правилах фильтрации в качестве дополнительного параметра, определяющего блокировку ресурса.

Теперь переходим в подпункт «Конфигурация -> Фильтрация содержимого -> Политика HTTP». Здесь уже есть несколько подготовленных политик, построенных на основе групп URL, о которых говорилось выше. После установки активированы только три правила, разрешающие обновление и доступ к поисковым роботам.

Чтобы заблокировать баннеры и всплывающие окна, ставим флажок напротив «Remove advertisement and banners» и создаем новое правило.

Вводим его название, указываем учетные записи, для которых оно будет активно. По умолчанию в этом списке прописаны все учетки, но, используя настройки правил, можно легко заблокировать доступ к некоторым группам сайтов только для определенных пользователей. Переходим к полю «И если URL удовлетворяет критерию». Здесь предлагается четыре варианта действий: указать шаблон, выбрать группу URL, категорию Web Filter (о ней чуть ниже), и заблокировать любой узел, если к нему обратились по IP (что, кстати, тоже бывает полезно). Нас интересует созданная нами ранее группа Social network; выбираем ее и устанавливаем действие «Запретить доступ к веб-узлу». Чтобы отслеживать все попытки подключения к узлам, определенным в этом правиле, ставим флажок «Журнал». Это не все настройки. Заглянув в «Дополнительно», мы получаем возможность указать временной интервал, в течение которого будет активно правило, и диапазон IP (созданный в «Группы адресов »), для которого будет действовать правило. В итоге KWF позволяет очень тонко настроить блокировку практически для любых условий. И во вкладке «Правила содержимого» указываем параметры сканирования веб-контента (проверка ActiveX, сценарии HTML и JavaScript).

Здесь хотелось бы обратить внимание на флажок «Запретить веб-страницы, содержащие запрещенные слова в коде HTML». По умолчанию он снят, поэтому обязательно активируем его. Список самих слов задается в отдельной вкладке «Запрещенные слова». Каждому слову соответствует вес, внизу страницы указывается цифра веса (по умолчанию 70), при достижении которой страница блокируется. Интерфейс программы позволяет при необходимости добавить в список новые слова. Но чтобы данная функция работала в полной мере, следует создать новое правило с шаблоном URL (*). Таким образом, будут проверяться все веб-страницы, к которым обращается пользователь.

Но возможности KWF этим не ограничиваются. Отдельно лицензируется модуль Kerio Web Filter, использующий категории веб-сайтов ISS Orange WebFilter. Администратор буквально двумя щелчками мышки определяет доступ к одной из 58 категорий веб-сайтов, поддерживаемых этим модулем. При посещении пользователем веб-сайта он проверяется по постоянно обновляемой базе, где находится более 20 миллионов сайтов, и, в зависимости от результата, разрешается или блокируется доступ. Админ лишь контролирует этот процесс по отчетам, все остальное происходит автоматически. Если блокировка по некоторым причинам нежелательна, Kerio Web Filter можно использовать для сбора статистики предпочтений пользователей.

Политики FTP настраиваются в одноименной вкладке. После установки KWF здесь уже прописаны четыре правила, активация которых позволит заблокировать upload и закачку видеофайлов. Далее, используя их как шаблон, админ легко создает новые правила под определенные расширения файлов. В правилах указываются: пользователь, IP-адрес сервера, направление загрузки, шаблон файла или FTP-команда.

К сожалению, простого пути обрубить аську и подобные IM-сервисы в KWF нет. Конечно, адреса вроде login. icq. com, id. rambler. ru можно блокировать в правилах URL, но лучшим выходом будет бан айпишников IM-серверов. Подробно о том, как научиться определять нужные IP и банить их, смотри в статье «Серпом по аськам», опубликованной в августовском номере ][ за 2009 год.

Для удобства в «Группы адресов» создаем отдельную группу, назовем ее, к примеру, «Instant Messengers», где прописываем все известные диапазоны IP:

  • Rambler ICQ: 81.19.64.0 — 81.19.66.255;
  • icq-ws. rambler. ru: 81.19.69.0 — 81.19.70.255;
  • ICQ: 64.12.0.0 — 64.12.255.255, 205.188.0.0 205.188.255.255

И так далее. Теперь переходим в «Политика трафика» и создаем новое правило. Наделяем его понятным именем (ICQ Deny), в поле «Назначение » идем в «Добавить -> Группа IP-адресов», в списке находим группу «Instant Messengers». Дважды щелкаем в поле «Действие» и устанавливаем переключатель в «Отказать» или «Удалить». В таком виде правило будет касаться подключений ко всем портам. В принципе, дальше можно не заморачиваться. Последним обычно стоит блокирующее все подключения правило. Поэтому если в политиках фильтрации настроено действительно то, что нужно, порты, используемые сервисами, можно уже отдельно не банить. Напомню, что Мail-Агент работает по портам 2041, 2042; Yahoo! Messenger — 5000-5001, 5050; MSN — 1863; Jabber/Gtalk — 5222, 5223; IRC — обычно по 6667-6669.

Теперь осталось ограничить пиринговый трафик. Все нужные настройки производятся во вкладке «Дополнительные параметры — Фильтр P2P». Достаточно установить переключатель в «Заблокировать трафик и разрешить только не-P2P подключения», и о проблеме можно забыть.

Как вариант, Керио позволяет заблокировать весь трафик клиента при попытке подключения по P2P с указанием времени блокировки (по умолчанию 120 минут). Пользователю при этом отправляется уведомление по электронной почте, в котором объясняется причина, чтобы он не буянил и не звонил админу или начальству. Вообще говоря, пара-тройка блокировок, распечатка нарушений на стол руководителю — и дисциплина будет подтянута. Чтобы определить работу по P2P, используется список портов, который можно просмотреть и отредактировать в меню, появляющемся при нажатии кнопки «Дополнительно». Здесь же задается число подключений и список служб, которые будут определяться как не-P2P. Самый простой вариант: настраиваем блокировку определенных портов, тем более в политиках уже есть заготовки для eDonkey, DC++, Gnutella, Kazaa и др. Кстати, у Kerio есть еще одна возможность блокировки — прописать в настройках DNS («Конфигурация id DNS») неправильное соответствие IPадреса, о чем говорилось выше. Просто пишем адрес вроде: vkontakte. ru 127.0.0.1. И пользователи не смогут подключиться к удаленному серверу.

Анализатор серфинга Surfanalyzer

SurfAnalyzer (surfanalyzer. ru ) — специализированное решение, позволяющее блокировать доступ к ресурсам, которые отвлекают от работы или несут потенциальную опасность. Программа, являясь посредником между интернетом и пользователем, пропускает через себя весь трафик, поэтому с ее помощью очень просто контролировать закачку файлов с определенными расширениями (.exe. com. zip и т. д.), вложения в электронной почте, фильтровать IM-сообщения, блокировать некоторые типы сайтов. Вся информация о посещенных ресурсах сохраняется, и, просмотрев логи, мы легко узнаем, чем занимался пользователь в рабочее время. В случае появления внештатных ситуаций администратор оповещается посредством e-mail или ICQ. SurfAnalyzer состоит из трех компонентов, которые, как правило, разворачиваются на нескольких системах:

  • сервер (Server) обеспечивает основной функционал, содержит веб-модуль (доступ в интернет, сбор статистики, контроль загрузки файлов, работа в IM), почтовый сервер (контроль исходящих и входящих писем), СУБД Firebird для хранения собранных данных; все это связывается при помощи модуля оповещения и настройки;
  • рабочее место специалиста безопасности (View) отслеживает нарушения политики безопасности и доступ к архивам e-mail, ICQ и посещенных веб-сайтов;
  • рабочее место администратора системы (Admin) позволяет настроить политики безопасности, доступ пользователей и систему контроля.

Для непосредственной организации доступа пользователей в интернет и учета трафика в паре с SurfAnalyzer должен использоваться прокси-сервер стороннего разработчика (UserGаte, WinGate и т. п.) В настройках прокси-сервера оставляется лишь одна учетная запись — SurfAnalyzer, которая будет иметь полные права. Все остальные пользователи будут подключаться к интернету через сервер SurfAnalyzer.

Для установки SurfAnalyzer потребуется компьютер, работающий под управлением Win2k/XP/2k3. Минимальные системные требования заявлены следующие: CPU 1.7 ГГц, 256 Мб RAM и 200 Мб HDD. Установка компонентов стандартна; все необходимое, в частности Firebird, уже идет в комплекте. По окончании установки сервера запустится небольшое окно управления ServiceManager. Далее вызываем окно консоли SurfAnalyzer Admin, регистрируемся как Admin с пустым паролем.

Если сервер установлен на другой системе, указываем его IP. Основное окно админки разделено на четыре вкладки. На вкладке «Основные» указываются настройки прокси-сервера, порт (Web+ICQ), на котором SurfAnalyzer будет ждать клиентские подключения (по умолчанию 3128), порты POP3 и SMTP, частота анализа текста и прочее. Собственно, в этой вкладке необходимо лишь настроить параметры доступа к прокси-серверу. Соответственно компьютеры пользователей, веб-браузеры, программы для работы с почтой и т. д. должны быть перенастроены на IP-адрес сервера SurfAnalyzer.

Вкладка «Контроль» позволяет добавить учетные данные админов и распределить между ними обязанности по настройке. Обслуживаемые почтовые ящики и e-mail-серверы, с которыми будет работать SurfAnalyzer, прописываются во вкладке Почта. Здесь же устанавливается соответствие учетной записи почты определенному компьютеру, действия для вложений и подозрительного содержимого.

Учетные записи пользователей, которые будут выходить в интернет, создаются во вкладке «Web + ICQ + Mail Agent». В SurfAnalyzer поддерживаются типы авторизации «только по IP», «только по МАС» и «IP+МАС». Программа сканирует доступные сети и выводит список найденных компьютеров, включая имя, IP — и МАС-адреса. После того, как учетная запись добавлена, в правой вкладке редактируются параметры доступа. Возможны два подхода: разрешить только выбранное или запретить выбранное. Так, типы файлов отмечаются во вкладке «MIME-настройки».

Отбираем нужное и указываем действие при помощи выпадающего списка «Правило». Правила хорошо прокомментированы, поэтому сориентироваться в них просто. При необходимости легко добавить новые MIME-типы/расширения для своих рулесетов. Все расширения, неизвестные SurfAnalyzer, автоматически попадают в одноименную категорию. Также можно определить список стоп-слов и запрещенных URL, которые будут контролироваться SurfAnalyzer. Все настройки выполняются в одной вкладке, по одной в строке: просто пишем строку, совпадение с которой будет проверяться. Например, для «Одноклассников» — odnoklassniki. Вот и весь шаблон, никаких подстановок не предусмотрено. Также нет возможности блокировок по IP.

SurfAnalyzer позволяет выполнять проверку в трафике определенных слов, которые задаются во вкладке «ICQ + Mail Agent». Все сообщения, содержащие запрещенные URL или слова, помечаются определенным образом в консоли View. Консоль специалиста безопасности, по сути, является средством получения различного рода отчетов по пользователям, событиям и датам. А имея на руках такую статистику, очень просто наказать сотрудника рублем :).

Контролер трафика Traffpro

TraffPro (traffpro. ru ) — специализированное и очень понятное в настройках решение для контроля трафика и управления доступом.

Программа обеспечивает контроль и учет трафика, телефонных звонков (поддерживаются АТС Panasonic и LG), защиту сервера и систем, блокировку портов, NAT, порт-форвардинг, умеет работать в связке с прокcи-сервером Squid. Возможна авторизация пользователя — IP, МАС, логин и пароль, LDAP/AD и VPN. Доступно большое количество отчетов и мониторинг соединений. Написан TraffPro с использованием библиотек Qt, для хранения данных задействуется MySQL, графики строятся при помощи gnuplot. Серверная часть устанавливается под Linux, клиенты управления — под Windows и Linux, есть и веб-клиент.

Предлагается несколько реализаций, в том числе доступна и Free-версия, обладающая всеми основными функциями. Со сравнительной таблицей возможностей можно познакомиться на офсайте, поэтому подробно останавливаться здесь не будем. Установка серверной части в Linux заключается в развертывании LAMP-сервера (см. статью «Волшебная лампа админа» в ][ 12.2008) и установке управляющей части. Чтобы блокировать доступ к определенной группе сайтов, выбираем в консоли «Клиенты ed Группы no Редактирование Группы a Список доменов» и добавляем домены, которые нужно блокировать для выбранной группы. Аналогично указываем список разрешенных портов, все остальные подключения для пользователей этой группы будут блокированы. Также учитывая, что мы имеем дело с Linux, при необходимости можно легко самостоятельно добавить нужные правила при помощи iptables (TraffPro использует свой файл настроек iptables — /etc/traffpro/traffpro_rule. cfg).

Lan2net Firewall

Lan2net NAT Firewall (lan2net. ru ) — программный межсетевой экран, предназначенный для организации безопасного доступа в интернет с функциями защиты сети, фильтрации сайтов, контроля и учета трафика. Его разработкой занимается российская компания Нетсиб, имеющая, к слову, статус Microsoft Small Business Specialist.

Возможностей у продукта Lan2net очень много, нас же интересует функция блокировки доступа к сайтам, которая реализуется за счет использования механизма фильтрации сайтов по URL и IP. Запретить доступ по IP можно при создании правила firewall или правила для группы. Выбираем протокол (порт) и указываем IP-адрес. Хотя этот метод не назовешь удобным, так как задать список IP-адресов нельзя — только диапазон. Поэтому каждый адрес придется прописывать отдельным правилом. Другой вариант — механизм фильтрации URL, доступ к которому мы получаем в свойствах группы пользователей.

В списках адресов поддерживается символ ‘*’, означающий любую подстроку, что весьма упрощает их наполнение. Таким же образом блокируются файлы с определенным расширением: просто добавляем правило — *.mp3, *.avi, *.mpg и т. д.

LanAgent NetworkFilter

Когда номер сдавался в печать, стало известно, что вместо SurfAnalyzer будет продвигаться программа с другим именем — LanAgent NetworkFilter, которую наделят теми же возможностями: перехват сообщений ICQ, MSN, mail. ru агентов; перехват сообщений электронной почты; контроль загружае мых файлов. Кроме этого добавится функция перехвата писем, отправляемых через веб-интерфейс. Принцип настройки и установки останется неизменным.

Сетевой 007

Есть два способа навести порядок в локальной сети: блокировать и контролировать. Каждый имеет свои достоинства и недостатки. В идеале нужно использовать оба варианта, чтобы исключить случаи, когда что-то пройдет незамеченным.

Одним из ярких представителей контролеров является решение LanAgent (lanagent. ru). Агенты, установленные на клиентских системах, позволяют отслеживать, чем занимается пользователь в рабочее время. Можно узнать, какие программы и сервисы он запускает, какие сайты посещает, какие внешние устройства подключает. Также агенты умеют делать снимки экрана, перехватывать нажатия клавиш, сообщения ICQ и e-mail, документы, отправленные на печать, файлы, скопированные на флешку. При нарушении установленных политик администратор получает уведомление.

Программа оснащена системой отчетов, позволяющей быстро составить график активности пользователей за нужный период времени.