Павлов Сергей Системный инженер компании Softmart

В данной статье представлены наиболее популярные способы подключения офиса небольшой организации к сети Интернет. В статье не затрагиваются вопросы выбора провайдера и вопросы выбора конечного оборудования для подключения к сети. Мы исходим из того, что провайдер предоставляет организации следующее:

1. Сетевой интерфейс Ethernet RJ45 - стандарт для сетевого оборудования в локальных сетях
2. IP адрес - один или несколько, постоянный или динамический
3. IP адрес шлюза и DNS

Приведем также небольшой портрет организации, на которую рассчитана эта статья:

1. Количество компьютеров в сети - до 30;
2. В сети есть один файловый сервер или сервер корпоративной системы управления;
3. Web сервер и почтовый сервер организации размещен у провайдера, а не в локальной сети предприятия;
4. Интернет канал будет использоваться сотрудниками преимущественно для работы с электронной почтой и просмотра Web-страниц;
5. Компьютеры и серверы организации должны быть защищены от несанкционированного доступа по каналу сети Интернет;

Из возможных, но редко встречающихся условий можно также упомянуть:

1. Безопасное подключение сотрудников к сети организации удаленно - из дома или другого офиса;
2. Безопасное соединение небольших офисов разнесенных территориально;
3. Размещений Web-сервера, почтового сервера, сервера какой-либо внутренней системы управления внутри сети организации с предоставлением свободного доступа к ним сотрудников или клиентов по сети Интернет;

При таком подходе для организации доступа в сеть Интернет выделяется персональный компьютер или сервер. Сервер или ПК оснащается дополнительной сетевой картой. Одна из них подключается к сети провайдера, другая - к сетевому коммутатору организации.
На шлюзе целесообразно запустить службу NAT - сетевой трансляции IP адресов.

Достоинства такого решения:

1. Возможность использования широчайшего списка программного обеспечения для решения разнообразных задач, например:
для защиты сервера и сети от атак из Интернет;
для антивирусной защиты сервера, трафика или электронной почты;
для защиты от спама;
для подсчета трафика;
для управления доступом в сеть Интернет сотрудниками организации;
2. Достаточно одного IP адреса от провайдера.
3. Обеспечивается достаточный уровень защиты локальной сети от внешних воздействий за счет использования службы NAT.
4. Небольшая стоимость сетевого экрана, поскольку допускаются решения для персональных компьютеров.
5. Из сети Интернете виден только компьютер шлюза, и хакеры могут атаковать лишь этот компьютер. Локальная сеть, включая сервера и рабочие станции, им не доступна в принципе. Таким образом, при выходе из строя шлюза локальная сеть организации продолжает функционировать.

Недостатки

1. Если компьютер-шлюз также используется как обычная рабочая станция одного из сотрудников, например, исходя из экономии средств, то возможны серьезные проблемы с безопасностью. Пользователь, работающий на шлюзе, может своими действиями ослабить защиту сервера. Кроме того, возможны проблемы с производительностью шлюза, поскольку часть мощности компьютера будет отнимать пользователь;
2. Крайне не рекомендуется, использовать шлюз как файловый сервер организации по причине доступности сервера из сети Интернет. Требуется мощный сетевой экран (не персональный) и работа очень квалифицированного специалиста по настройке безопасности на шлюзе. Теме не менее это очень часто встречающаяся конфигурация в небольших организациях;
3. Требуется приобретать дополнительное программное обеспечение. Служба NAT не входит в состав операционных систем Windows, кроме Microsoft Windows XP (NAT реализован, но с некоторыми ограничениями). Стоимость сетевых экранов варьируется от десятков долларов до нескольких тысяч. Как минимум требуется специальная программа для обеспечения доступа в сеть Интернет всех пользователей локальной сети. (программа называется прокси-сервер).
4. Требуется дополнительное устройство - сетевая карта.

Примерная стоимость реализации данного решения:

При таком подходе для организации доступа в сеть Интернет требуется получение дополнительного количества IP адресов от провайдера для каждого персонального компьютера в локальной сети организации. Такое решение, вероятно, обеспечивает наиболее быстрое подключение сотрудников организации к сети Интернет. Однако данное решение редко применяется при числе компьютеров в компании более двух по двум причинам:
1. Провайдер крайне неохотно выделяет IP адреса, и сам Вам порекомендует перейти на любую другую схему подключения компьютеров в сеть Интернет.
2. Данное решение потенциально наименее безопасно с точки зрения защиты Ваших данных от несанкционированного доступа и атак из сети.

Достоинства:

1. простая настройка компьютеров.
2. не надо покупать дополнительный компьютер - шлюз.
3. не надо покупать дополнительное программное обеспечение - прокси-сервер.

Недостатки:

1. На каждом компьютере требуется установить всестороннюю систему защиты.
2. Зависит от возможности провайдера предоставить несколько IP адресов
3. Нет статистики по использованию канала

Стоимость релизации данного решения:

Для каждого компьютера в сети:

Организация доступа с помощью устройств D-LINK

Компания D-Link предлагает широкий спектр устройств для безопасного подключения небольших организаций к сети Интернет. Все решения можно условно разделить на два больших класса:
1. Маршрутизаторы серии DI
2. Файрволы серии DFL

Устройства семейства DI были специально спроектированы для целей и задач небольших офисов. Они обладают всей необходимой функциональностью за более чем приемлемую цену. В зависимости от модели устройства могут оснащаться:
сетевым экраном,
точкой доступа Wi-Fi,
встроенным прокси-сервером,
сетевым портом подключения принтера,
встроенным ADSL модемом
VPN модулем

Все устройства поддерживают:
1. DHCP (функция динамического назначения IP адресов компьютерам в сети)
2. NAT (функция динамической трансляции IP адресов из внутренний сети в IP адреса сети Интернет)
3. Функцию виртуального сервера, необходимую для организации доступа к локальному серверу из сети Интернет
4. Функцию Защищенной зоны, необходимую для организации доступа к нескольким локальным ресурсам из сети Интернет

Достоинства

3. Низкая цена для своего класса.
4. Защита от атак с помощью NAT, + возможность вводить правила запрещения доменов, адресов и т.д..


7. Возможность создании защищенных соединений в Интернете (VPN) , для связи с другими офисами.
8. Возможность организации доступа к внутренним ресурсам локальной сети.
9. Возможность поддержки мобильных пользователей.(Wi-Fi).
10. Возможность подключения сетевого принтера.

Недостатки:

2. Есть аппаратные ограничения на количество одновременно работающих сотрудников. До 2000 одновременных соединений устройство DI выдержит без заметных отклонений по производительности.
3. Аппаратура чувствительна к атакам изнутри, например, сетевых вирусов. При таких атаках, нагрузка на устройство резко возрастает.
4. Само устройство слабо защищено от типовых сетевых атак. При этом данные организации и компьютеры, как правило, не страдают.
5. Статистика по использованию канала сотрудниками недостаточно детальная.

Примерная стоимость решения

Устройства семейства DFL - это уже высокопроизводительные сетевые экраны, оснащенные всеми мыслимыми и новомодными решениями по защите локальной сети и ресурсов организации от вторжения. В зависимости от конкретной модели устройство может быть, например, оснащено:
системой обнаружения вторжений IDS
системами обнаружения типовых атак и их отражения
системой управления полосой пропускания
системой балансировки нагрузки
VPN

Нужно подбирать модель, исходя из количества компьютеров в сети и требований по безопасности. Лучше всего обратиться за помощью к консультанту по решениям D-Link.

Достоинства:

1. Аппаратные решения очень надежны, компактны и неприхотливы.
2. Устройства хорошо защищены сами от атак из Сети и хорошо защищают периметр локальной сети организации.
3. Защита от сетевых атак, включая: SYN, ICMP, UDP Flood, WinNuke, сканирование портов, спуфинг, подмену адресов, отказ в обслуживании и др.
4. Один раз настроенная система, в дальнейшем не нуждается в настойке.
5. Нет выделенного компьютера - шлюза.
6. Простая установка и настройка.
7. Низкая цена для своего класса.
8. Возможность создания защищенных соединений в Интернете (VPN) , для связи с другими офисами.
9. Возможность организации доступа к внутренним ресурсам локальной сети.

Недостатки:

1. Настройку должен проводить квалифицированный специалист.
2. Статистика по использованию канала сотрудниками недостаточно детальная.

Примерная стоимость решения

Заключение

При всем богатстве выбора нам кажется, что наиболее оптимальным решением для небольшой организации является все-таки решение на основе одной из моделей устройств D-Link семейства DI. Устройства просты, компактны, доступны по цене и достаточно функциональны. Единственно в чем решения DI можно упрекнуть - это отсутствие некоторых возможностей прокси-серверов, например, статистики по объему закаченной информации по сотрудникам. Ведь именно эти данные, как правило, используются провайдерами для выставления счета за использование канала. Если эта функция жизненно необходима для Вашей организации, то стоит дополнительно рассмотреть приобретение прокси-сервера, например, UserGate от компании eSafeLine. Только не забывайте, что прокси-сервер потребует приобретение дополнительного компьютера.

Школьный портал поддерживает управление доступом в интернет.

Управление осуществляется через интеграцию с прокси-сервером Squid.

Для изменения прав доступа перейдите в меню: Сервис → Доступ в интернет... .

Данное действие доступно только представителям администрации школы.

Чтобы дать доступ в интернет, достаточно поставить галочку у имени пользователя (ученика, учителя), или целого класса. Чтобы отменить доступ, нужно снять галочку. Изменения применяются после нажатия кнопки "Сохранить".

Чтобы машина в локальной сети обращалась в интернет, руководствуясь допуском, настроенным в Портале, нужно настроить её использовать прокси-сервер.

Адрес прокси-сервера - это адрес вашего школьного сервера в локальной сети, куда установлен Школьный портал. Порт прокси-сервера - 3128 .

При обращении пользователя в интернет через прокси-сервер будет затребован логин и пароль от Школьного портала.

Чтобы надёжно предотвратить доступ в интернет в обход прокси-сервера, стоит проверить, что школьный сервер не предоставляет маршрутизацию в интернет интересующим машинам, а также что машины не имеют доступ через коммутатор, модем, роутер, Wi-Fi и прочее оборудование образовательного учреждения, к которому сотрудники и учащиеся имеют сетевой доступ.

Системы контентной фильтрации (СКФ)

Поддерживается как отсутствие СКФ, так и интеграция со множеством провайдеров.

Настройка СКФ находится в левой колонке страницы управления доступом в интернет.

Некоторые СКФ требует регистрации для управления списками запрещённых ресурсов (например, социальные сети, непристойные материалы, коллекции рефератов и т.д.). Изменение таких настроек производится в веб-интерфейсах на сайте самой СКФ, а не в Портале. Поддержку пользователей по вопросам качестваа фильтрации осуществляет организация, обслуживающая СКФ. В Портале выполняется лишь включение и отключение направления запросов к DNS-серверам СКФ с прокси-сервера школы и не более того.

СКФ аналогично допуску в интернет применяется лишь к машинам, которые настроены строго через школьный прокси-сервер.

Важно! Работу СКФ после включения необходимо проверять согласно вашим ожиданиям, так как Портал автоматически не может проверить это за вас. Условия предоставления СКФ могут измениться их производителями в любой момент. Стоит быть подписанными на новости сервиса, которым вы пользуетесь.

Что делать, если Портал выводит надпись "Функция отключена" или что-то не работает.

Проверки и действия в данной части статьи приведены только для Ubuntu Server 10.04 LTS:

Все действия необходимо выполнять от пользователя root.

1. Установлен ли squid?

Dpkg -s squid3 | grep -i version

Если нет, установите:

Apt-get install squid3

2. Есть ли эти параметры в файле конфигурации Портала?

Auth = basic htpasswd = /var/www/sp_htpasswd sp_users_allowed = /var/www/sp_users_allowed

Если нет, добавьте и выполните

Pkill speedy

3. Squid запущен? Слушает порт 3128?

Проверка:

Netstat -ntlp | grep 3128

В ответ должно быть примерно следующее (1234 для примера, у вас может быть другой номер процесса):

Tcp 0 0 0.0.0.0:3128 0.0.0.0:* LISTEN 1234/(squid)

Как запустить Squid:

/etc/init.d/squid3 start

* Starting Squid HTTP Proxy 3.0 squid3

4. Поставьте Squid в автозапуск:

Update-rc.d squid3 enable

5. Создайте, если нет, и задайте права доступа к служебным файлам, отвечающим за управление со стороны Портала:

Touch /var/www/sp_htpasswd /var/www/sp_users_allowed chown www-data.proxy /var/www/sp_htpasswd /var/www/sp_users_allowed chmod 660 /var/www/sp_htpasswd /var/www/sp_users_allowed

6. Файл конфигурации Squid-а «из коробки» не готов к интеграции, его нужно подправить.

Сначала убедитесь, что в нем НЕТ интеграции с порталом (многократное исправление недопустимо):

Grep "School Portal Internet Control" /etc/squid3/squid.conf

Если строка от выполнения команды выше выводится, значит этот шаг следует пропустить.

Однако, если файл конфигурации был изменён таким образом, что строка есть, а интеграция не заработает, возьмите исходный файл конфигурации от Squid и выполните этот шаг над ним.

Итак, если строки НЕТ:

6.1. Удаление правил, препятствующих интеграции и изменение страниц ошибок на русские версии:

Perl -i-original -p -e "s!^http_access deny all$!#http_access deny all!; s!^# error_directory /usr/share/squid3/errors/templates$!error_directory /usr/share/squid-langpack/ru!;" /etc/squid3/squid.conf

6.2. Внесение фрагмента интеграции:

Echo " # ============================== # School Portal Internet Control # To disable replace /etc/squid3/squid.conf with /etc/squid3/squid.conf-original # ============================== auth_param basic program /usr/lib/squid3/ncsa_auth /var/www/sp_htpasswd auth_param basic children 5 auth_param basic realm Squid proxy-caching web server auth_param basic credentialsttl 2 hours auth_param basic casesensitive on acl sp_users_allowed proxy_auth "/var/www/sp_users_allowed" http_access allow sp_users_allowed http_access deny all " >> /etc/squid3/squid.conf

Если такой блок в файле squid.conf присутствует более одного раза, удалите повторы, даже если всё работает. С повтором Squid при каждом обновлении списка допуска из портала будет сыпать в свой журнал предупреждения о переопределении правил.

6.3. После внесения изменений, Squid нужно перезапустить.

/etc/init.d/squid3 restart

7. Далее воспользуйтесь веб-интерфейсом Школьного портала для раздачи доступа в интернет. Вы должны наблюдать изменение списка разрешённых логинов пользователей портала в файле /var/www/sp_users_allowed после нажатия кнопки "Применить" в веб-интерфейсе портала.

Журналы доступа к Squid (/var/log/squid3) будут содержать логины пользователей портала. Можно использовать любые анализаторы логов, совместимые с форматом логов Squid. Интеграция с Порталом не нарушает формат журналов по умолчанию, отличие в наличии логинов из портала на месте, где стоял бы прочерк при отсутствии авторизации пользователей.

8. Проверьте, не блокирует ли соединения фаерволл на школьном сервере и на клиентских машинах. По умолчанию на чистом в Ubuntu Server фаерволл разрешает все соединения, если вы вмешивались в его конфигурацию какими-либо средствами, обеспечьте разрешение соединений из локальной сети школы к порту 3128 сервера и исходящие соединения с сервера.

Удаленное управление доступом в Интернет (родительский контроль)

Это руководство описывает процесс настройки компьютеров под управлением операционных систем семейства Windows XP, 7 или Linux (Ubuntu) для удаленного управления доступом к сайтам сети Интернет.

Руководство подробно не описывает приемы работы с сервисом Rejector, речь о котором пойдет ниже, оно лишь позволяет настроить компьютер так, чтобы в полной мере использовать его возможности.

Все используемые средства относятся к ряду бесплатного или открытого программного обеспечения.

Введение

Интернет - прекрасное средство для обучения, отдыха или общения с друзьями. Но в сети помимо полезной информации, есть и нежелательная для вашего ребенка. Кроме этого, многочасовое сидение в Интернете может отвлечь от других важных занятий, таких как домашние задания, спорт, сон или общение со сверстниками. Поэтому, необходимо контролировать деятельность ребенка в Интернете.

Существует много разных методов контроля, но не всегда они являются эффективными. Уговоры и воспитательные беседы могут действовать весьма непродолжительное время, ведь нахождение в сети может ребенка увлечь настолько, что он забудет о всех уговорах. А запреты могут негативно сказаться на развитии полезных навыков поиска и обучения в Интернете.

В таких случаях вам помогут специальные программы по ограничению и контролю доступа к сети. С помощью них вы можете оградить вашего ребенка от негативных влияний Интернета, но при этом предоставить свободу действий. Одной из таких средств Система контроля доступа к Интернету Rejector.

Rejector — это централизованный проект для контроля доступа к сети Интернет. Он позволит вам оградить детей и подростков от опасной информации. По сути Rejector — это DNS-сервер с возможностью удаленного им управления.

Как это работает?

Вы регистрируетесь, добавляете свои IP, настраиваете параметры доступа. Вы можете использовать сервис и без регистрации, но тогда вы не сможете использовать все его возможности.

Ваши компьютеры настраиваются так, что бы все DNS запросы посылались на DNS сервера Rejector 95.154.128.32 и 176.9.118.232.

Каждый запрос проверяется на соответствие вашим настройкам, такие как запрещенные категории или сайты, разрешенные или запрещенные сайты, списки закладок или сайты мошенники, и в случае подтверждения блокирования, запрос перенаправляется на страницу запрета.

Эту страницу вы можете настроить на своё усмотрение.

Разрешенные запросы, прошедшие проверку, попадают в общий кэш запросов для быстрой выдачи всем клиентам.

Более подробное описание продукта Rejector вы можете найти на официальном сайте rejector.ru

Инструкция по настройке системы

1. Создадим пользователя с обычными правами

Обычно, при установке операционной системы создается пользователь с правами Администратора. Такой пользователь может производить все возможные действия, предоставляемые операционной системой в плоть до удаления самой системы.

Чтобы исключить обратимость всех наших дальнейших действий со стороны пользователя, которого мы берем под контроль, создадим пользователя с ограниченными правами, а Администратору — нам задействуем пароль.

В системе Windows это делается через Панель управления; в Linux создание пользователя доступно через Параметры системы.

2. Настроим сетевое соединение

Rejector — это сервис, который представляет собой, по сути, DNS сервер. Для работы с ним нужно прежде всего настроить сетевое соединение так, что бы DNS запросы посылались на DNS сервера Rejector 95.154.128.32 и 176.9.118.232.

В Windows и Linux это делается по разному.

Windows XP

Windows Vista

Подробная инструкция находится по адресу

Windows 7

Подробная инструкция находится по адресу

В большинстве операционных систем семейства Linux для настройки сети используется программа Network Manager. Для того, чтобы изменить DNS — сервер, делаем следующее:

Нажимаем ПКМ на индикаторе соединения и, в контекстном меню, выбираем пункт Изменить соединение

Если вы используете DHCP сервер при подключении к Интернету то, в параметрах IPv4 изменяем Способ настройки на Автоматический (DHCP, только адрес)

В поле Серверы DNS вводим два адреса через запятую 95.154.128.32, 176.9.118.232

Делаем соединение Доступным для всех пользователей и Автоматически подключаемым

3. Регистрируемся на сайте Rejector

В принципе, с этого можно было и начать. Но теперь, когда одна из сложностей позади, это мы делаем легко и просто. Переходим по ссылке и заполняем простую форму для регистрации.

4. Добавляем управляемую сеть

Зарегистрировавшись на сервисе, мы можем создавать необходимое число сетей или, что, в принципе, одно и тоже — клиентов, которыми мы будем управлять. Сети (Клиенты) идентифицируются на сервисе по их IP-адресу. Поэтому, чтобы управлять доступом в Интернет какого-то компьютера нужно знать его IP-адрес. Пока просто создадим Сеть через Панель управления на сайте Rejector по адресу.

Заполняем форму Добавления сети. Название сети — здесь вы можете указать имя вашего ребенка, если у него свой компьютер и вы хотите его контролировать. Статус — скорее всего, у вас будет Динамический IP-адрес (редкий провайдер выделяет для своих клиентов Статический адрес бесплатно), поэтому выбираем этот переключатель. Идентификатор сети — можно записать латиницей имя, которое вы указали в первом поле.

5. Отправка IP-адреса

Для работы сервиса, ему нужно постоянно «знать» IP-адрес клиента, который может меняется от подключения к подключению (Динамический IP-адрес). Это основная проблема, которая решается в этом руководстве.

Сами разработчики сервиса предлагают программу Rejector Agent, которая отправляет IP-адрес клиента на сервер. Но, эта программа не может работать автономно. Поэтому мы воспользуемся другой предоставленной возможностью. А именно — обновление с помощью HTTP-запроса (описание по ссылке).

Чтобы производить обновление сведений Клиента посредством HTTP-запроса в фоновом режиме, нам понадобится программа Curl. Эта программа способна отправлять забросы по протоколу HTTP в Интернет через командную строку. Параметры к этой программе мы зададим в скрипте; для Windows это будет bash-файл для Linux — sh.

Программа Curl распространяется свободно и имеет версию для Windows, поэтому мы будем использовать ее в обоих средах. Для Windows последнюю версию программы можно скачать по ссылке. Чтобы установить, достаточно распаковать содержимое поолученного архива в папку C:\WINDOWS\SYSTEM32 (это упростит запуск программы). В операционной системе семейства Linux она, скорее всего, уже будет установлена.

6. Скрипт регулярного обновления IP-адреса

На сайте предлагается следующий HTTP-запрос http://username:[email protected]/ni...,
который обновит значение IP адреса. Мы будем подставлять его в качестве параметра для программы curl.

Запрос на обновление адреса должен отправляться с того компьютера, который мы хотим контролировать. Из-за того что текстовый терминал обрабатывает команды особым образом, текст запроса пришлось немного изменить. Текст сценария для Windows и Linux приведен ниже.

Для Windows

:loop
curl "http://login%%40mail-server.com :password @updates.rejector.ru/nic/update?hostname=net-name "
# Делаем задержку в 300 секунд
ping -n 300 127.0.0.1 > NUL
echo 111
goto loop

Где login%%40mail-server.com — ваш почтовый ящик, с помощью которого регистрировались на Rejector (знак @ заменен на %%40); password — пароль; net-name — имя сети на сервисе Rejector.Поместите текст скрипта в обычный текстовый файл, замените расширение на.bat и вы получите исполняемый сценарий.

Для Linux

#! /usr/bin/sh
while true; do curl -u [email protected] :password "http://updates.rejector.ru/nic/update?hostname=... sleep 300; done;

Здесь все аналогично записи для Windows. Запишите этот текст в текстовый файл с расширением sh.

Оба скрипта содержат пароль аккаунта Rejector в открытом виде, поэтому необходимо скрыть их содержимое от просмотра для обычного пользователя. В Linux и Windows это реализовано по разному

Для того, чтобы запретить просмотр и редактирование созданного нами этого необходимо изменить владельца и группу файла на root и запретить всем, кроме владельца, доступ к файлу. Если вы владеете навыками работы в командной строке, то вам нужно перейти с помощью команды cd в каталог с файлом скрипта и выполнить команду chown root:root skcript.sh и chmod 700 script.sh. ,Чтобы сделать то же самое в графической оболочке, нужно сначала запустить файловый менеджер с правами администратора, найти файл скрипта и изменить Права, используя контекстное меню.

Не вдаваясь в то как можно изменить права доступа к файлу подобно в Linux, применил следующее решение. Преобразуем наш исполняемый файл в EXE-файл, чтобы скрыть его содержимое. Для этой цели воспользуемся бесплатной программой Bat To Exe Converter. Предлагаю скачать ее русифицированную версию по ссылке или на официальном сайте программы. Программа не требует пояснений в работе. На входе ставим наш bat-файл на выходе получаем exe-файл.

7. Ставим на автоматический запуск

Осталось сделать последний шаг. Сделаем автоматический запуск программы вместе с запуском системы. В Linux и Windows это делается по разному.

Заходим в систему от имени Администратора и перемещаем наш исполняемый файл.exe в папку PogramFiles. В домашнем каталоге пользователя находим папку Главное меню , в ней Программы , Автозапуск куда и помещаем ярлык от нашей программы (это можно сделать путем перетаскивания самой программы с зажатой клавишей Shift). Готово.

Поместим исполняемый файл в папку /usr/bin . Отредактируем файл запуска локальных приложений системы /etc/rc.local , добавив в нем строчку перед exit 0.

/usr/bin/script.sh

где script.sh — имя нашего файла.

На этом настройка системы закончена. Можно заходить на сервис Rejector и настраивать режим работы сети.

Перед обсуждением аутентификации пользователей сети необходимо разработать правила управления доступом к сети. Сети уже не являются монолитными объектами. В большинстве случаев имеется одна внешняя точка доступа - подключение к Internet посредством ISP (Internet Service Provider - поставщик услуг Internet). Правила управления доступом к сети будут определять, какую защиту необходимо установить на входных точках в сеть.

Шлюзы

Шлюзы являются пунктами, в которых сетевой трафик передастся из сети организации в другую сеть. В отношении шлюзовых пунктов правила управления доступом должны учитывать природу сети, в которой устанавливается мост.

• Правила управления доступом для входящие и исходящих телефонных звонков (Dial-in и Dial-out) . Охватывают требования по аутентификации. Скрыть точку телефонного доступа в сеть довольно сложно. Поэтому важно определить средства управления этим доступом. Существует множество соображений относительно правил доступа, таких как создание модемов исключительно для обработки исходящих сигналов (out-bound-only ) для доступа dial-out. Необходимо написать пункт правил, который будет предписывать применение соответствующих средств управления.

  Весь телефонный доступ в сеть должен быть защищен с помощью средств строгого контроля аутентификации. Модемы необходимо сконфигурировать для одного из доступов dial-in или dial-out, но ни в коем случае не для обоих. Администратор сети должен обеспечить процедуры гарантированного доступа к модемным системам. Пользователи не должны устанавливать модемы в других точках сети бел соответствующих санкций .

• Прочие внешние подключения . Возможны различные подключения к сети извне организации. Правилами можно оговорить прямой доступ клиентов в сеть через виртуальную частную сеть VPN (Virtual Private Network) и через расширения сети организации, известные как экстрасети.
• Подключение к Internet . Отличается от других подключений, поскольку люди хотят иметь открытый доступ в Internet, в то время как разрешение доступа обеспечивается службами организации. Правила, регламентирующие эти подключения, обсуждаются в главе 6 "Правила безопасности Internet".

Как и для любых правил, нужно ожидать, что будут появляться запросы на изменение правил управления доступом. Независимо от причин, требующих корректировки правил, следует предусмотреть возможность вносить исключения в правила с помощью механизма пересмотра правил. Если согласно предписаниям политики был создан комитет управления безопасностью (см. главу 3 "Обязанности в области информационной безопасности"), то можно потребовать, чтобы комитет пересматривал правила.

Любой шлюз, предлагаемый для установки в сети компании, если он может нарушить правила или процедуры, предписанные этими правилами, не должен устанавливаться без предварительного утверждения комитетом управления безопасностью.

Виртуальные частные сети и экстрасети

Увеличение количества сетей в организации вынуждает искать новые варианты подключения удаленных офисов, клиентов и упрощения доступа обслуживающих контрагентов или потенциальных контрагентов. Этот рост породил два типа внешних соединений: виртуальные частные сети (VPN - Virtual Private Network) и экстрасети. VPN представляют собой недорогой способ установить информационную связь между двумя и более подразделениями организации, расположенными на разных территориях. Организации создают VPN путем подключения всех подразделений к Internet и установки устройств, которые будут осуществлять шифрование и дешифрование информации в обоих связывающихся между собой подразделениях. Для пользователей работа через VPN будет выглядеть так, как будто оба подразделения находятся на одной территории и работают в единой сети.

Проверка полномочий вспомогательных систем

Перед тем как продолжить, важно вспомнить, что каждый из шлюзов или каждая вспомогательная система является точкой входа в сеть организации. В любой точке входа должны каким-то способом проверяться полномочия потока данных, входящих и исходящих из сети. Один из вопросов, которые необходимо рассмотреть, заключается в требовании санкционирования внешних подключений к вспомогательным системам сети. Это может оказаться проблемой для вспомогательных систем, которые подключены к сети постоянно. Для таких вспомогательных систем необходимо определить, каким образом будет осуществляться санкционирование их присутствия в сети. В действительности, даже временные подключения к сети, такие как подключения входящих модемов, могут иметь строгие требования по аутентификации.

В этом разделе правила требования по аутентификации не должны описываться - они обсуждаются в следующем разделе "Безопасность регистрации". Здесь же можно только отметить необходимость требований к аутентификации. Правила, касающиеся стандартов аутентификации, будут рассмотрены в следующем разделе. Однако, для обеспечения гарантий того, что для вспомогательных систем будет решен вопрос аутентификации, в пункт правил для межсетевых подключений можно добавить следующее.

Приложения, необходимые для работы шлюзов, должны подвергаться аутентификации в сети. Если само приложение не может быть аутентифицировано, то правила аутентификации, описанные в данном документе, должны распространяться на вспомогательные системы, подключенные через шлюзы.