Портал към интернет нека се защитим
Страницата по-долу е само част от огромен сайт, посветен на различна компютърна документация, сайтът съдържа повече от 800 MB информация. Ако не сте намерили това, което търсите в тази статия, опитайте да погледнете тук, попитайте във форума или потърсете информацията, от която се нуждаете, в нашата директория с връзки към компютърни сайтове.
Ако искате да закупите хартиено копие на представените тук материали , моля, свържете се с нашата книжарница.
С най-добри пожелания, екип за разработка на eManual.ru
Портал към Интернет: нека се защитим
| div.main Портал към Интернет: нека се защитим |
Как да го направите с Microsoft Proxy Server 2.0
Въпросът за създаването на надежден и сигурен шлюз от локална мрежа към Интернет вълнува много хора напоследък. Слуховете на хората постоянно говорят за всемогъществото на гневни хакери, които правят такива неща с локални мрежи, свързани с интернет, че техните собственици, ако не веднага фалират, то за дълго време губят възможността да извършват бизнес нормално. В резултат на това мениджърите по сигурността на компаниите се страхуват от самата дума „Интернет“ като огън, а главите на инженерите по компютърни услуги се надуват от безкрайните „защитни стени“, „защитни стени“ и други термини, които са пълни с литература за интернет сигурност.
Всъщност слуховете за неограничените възможности на хакерите са силно преувеличени. Практически в реално време компетентно и прецизно изградена и поддържана система се хаква само чрез „методи под прикритие“. По-голямата част от известните досега случаи на хакване без агенти са пряко свързани с грешки в конфигурацията на системата. Ситуацията, описана от Андрей Крючков в Windows NT Magazine #2 тази година, е много показателна тук.
НоПроблемът също не може да бъде подценен. Има безброй начини да оставите "дупка" в локалната мрежа за хакер и са необходими много умения и внимание, за да не се "възползвате" от някой от тях. И след инсталиране и конфигуриране, мрежа, свързана с интернет, се нуждае от постоянно наблюдение.
Какво е добър прокси сървър
Но може би все пак има рационално зърно в тази идея? Но какво, например, ако не цялата локална мрежа е свързана с интернет, а само един компютър? В края на краищата настройката на един компютър е по-лесна за „оближаване“ и по-лесна за проследяване от цялата мрежа. Вярно е, че потребителите, които искат да работят в Интернет, ще трябва да се прехвърлят на този единствен компютър и след известно време ще се подредят в дълга опашка. Оказва се глупост. Сега, ако имаше програма, която, работейки на компютър, свързан с интернет, би позволила на други компютри в мрежата да емулират достъп до интернет, като същевременно остават „невидими“.
Всъщност такава програма е прокси сървър. Не е класическа защитна стена, тъй като мрежовата защита не е включена във функциите й. Мрежата е защитена чрез изолацията си от интернет. Прокси сървър позволява на потребителите на тази изолирана мрежа да имат достъп до интернет с помощта на един свързан компютър.
Microsoft прокси сървър 2.0
Сега, след като разбрахме основните принципи на Microsoft Proxy Server 2.0, нека да разгледаме пример как да го използваме, за да организираме защитен шлюз към Интернет.
Пример: най-простият портал към интернет
За да организирате такъв шлюз, ви е необходим компютър с два мрежови интерфейса. Единият от тези интерфейси (да го наречем външен) е свързан към Интернет, а другият (да го наречем вътрешен) е свързан към локалната мрежа.
По принцип, катовъншен интерфейс, можете да използвате модем, въпреки че това не е много удобно. Характеристиките на конфигурацията на Microsoft Proxy Server с помощта на RAS са описани подробно в документацията и няма да ги разглеждам.
Компютърът, на който ще бъде инсталиран Microsoft Proxy Server 2.0, трябва да отговаря на всички хардуерни изисквания на Microsoft Windows NT Server 4.0, със следните разлики:
• RAM. При брой клиенти до 300 се препоръчва най-малко 32 MB RAM, от 300 до 2000 - най-малко 64 MB. Ако броят на клиентите надвишава 2000, се препоръчва използването на масив от прокси сървъри.
• Допълнително дисково пространство. За да инсталирате Microsoft Proxy Server, трябва
10 MB свободно дисково пространство. Кеширането на заявки за уеб прокси изисква 100 MB плюс 0,5 MB на клиент.
И разбира се, няма нужда да казваме, че това трябва да е надежден компютър (идеалният вариант е „бял“ монтаж), а не странен продукт, сглобен в най-близкото мазе от китайски компоненти. След като обсъдихме хардуерните изисквания, можем да преминем към процеса на инсталиране на софтуера.
Инсталиране на Microsoft Windows NT Server 4.0
Предполагам, че читателят е наясно как протича инсталирането на Windows NT Server и затова ще се съсредоточа само върху функциите, които са специфични за нашия случай. Той също така предполага, че IP протоколът във вашата локална мрежа вече е конфигуриран и работи правилно.
• Трябва да деактивирате IP маршрутизирането. За да направите това, премахнете отметката от квадратчето Enable IP Forwarding в свойствата на TCP/IP протокола (вижте фиг. 1).
• За целите на сигурността е най-добре да деактивирате обвързването на услугите на сървъра, работната станция и интерфейса NetBIOS към външенмрежов интерфейс.
• Шлюзът по подразбиране трябва да бъде указан само за външния мрежов интерфейс. Ако вашата локална мрежа има повече от една IP подмрежа, тогава всички необходими шлюзове за този компютър трябва да бъдат изрично посочени с командата за добавяне на маршрут.
• Microsoft IIS 2.0 трябва да бъде инсталиран. В същото време, ако нямате други планове за използване на този компютър, достатъчно е да инсталирате само WWW услугата. Имайте предвид, че това е услугата, която използва уеб прокси за удостоверяване на потребителите. Така че конфигурирайте удостоверяването му съответно. Препоръчвам да изберете удостоверяване на предизвикателство/отговор на Windows NT.
• Трябва да инсталирате Service Pack 3, преди да инсталирате Microsoft Proxy Server 2.0.
• Освен това имайте предвид, че сега защитата на вашата мрежа трябва да бъде обект на повишено внимание. Необходима е и компетентна политика за администриране на потребителски бюджети, внимателно разграничаване на правата и навременно инсталиране на горещи корекции. Освен това силно не препоръчвам да използвате друга файлова система освен NTFS на шлюза.
Инсталиране на Microsoft Proxy Server 2.0
Още веднъж повтарям, че този софтуерен продукт е добре документиран, така че няма да описвам подробно неговата инсталация и конфигурация. Ще ви обърна внимание само на детайлите, които ми се струват наистина важни или имат пряко отношение към въпросния случай. Отбелязвам, че всички операции за настройка на Microsoft Proxy Server се извършват с помощта на Internet Service Manager.
• Задайте размера на кеша за уеб прокси на 100 MB постоянен и 0,5 MB на клиент. За да направите това, отидете в раздела Кеширане на свойствата на уеб прокси сървъра и щракнете върху бутона Размер на кеша. След това ще видите диалоговия прозорец, показан на фиг. 3. Изберете от списъкадисково устройство, въведете желаната стойност в полето Максимален размер и щракнете върху бутона Задаване.
• Ако искате да контролирате достъпа на вашите потребители до интернет, активирайте контрола на достъпа за всички услуги и позволете само на правилните групи потребители да ги използват. За да направите това, отидете в раздела Разрешения в свойствата на услугата и поставете отметка в квадратчето Разрешаване на контрол на достъпа (вижте например Фиг. 4).
• Активирайте регистрирането на използването на услугата, ако искате да записвате активността на потребителя.
тел в Интернет. Ако сте активирали записа в регистрационния файл на уеб прокси, деактивирайте записа в регистрационния файл на IIS.
• Ако планирате да използвате този компютър и като публичен уеб сървър, имайте предвид, че по подразбиране тази функция ще бъде деактивирана за външния мрежов интерфейс след инсталиране на Microsoft Proxy Server 2.0. За да го активирате, отидете в раздела Публикуване на свойствата на уеб прокси, поставете отметка в квадратчето Разрешаване на уеб публикуване и изберете опцията, изпратена до локален уеб сървър (вижте Фигура 6).
• За да могат вашите потребители да използват Winsock Proxy, трябва да инсталирате неговата клиентска страна на всяка работна станция. При инсталиране на сървъра автоматично се създава споделена директория mspcint, от която е най-добре да се инсталира клиентската част. В този случай работната станция се конфигурира автоматично за този сървър. Ако по някаква причина е неудобно да се направи това, тогава клиентската част може да бъде инсталирана от всеки друг източник. Но след това трябва да стартирате конфигурационната програма на WSP Client от контролния панел, да въведете името на прокси сървъра и да щракнете върху бутона Актуализиране сега (вижте Фигура 7). По същия начин, ако е необходимо, можете да преконфигурирате работната станция към друг сървър. Ето всъщност всички основни точки, които азИскам да обърна внимание на този пример. Само ще отбележа, че ако желаете, можете да поставите сървър за поща, сървър за новини или нещо друго на същия компютър.
Други характеристики на Microsoft Proxy Server 2.0
Разглежданата конфигурация е най-простият пример за използване на този софтуерен продукт и много от неговите функции не са използвани тук. Въпреки това, тези функции могат да бъдат много полезни, ако искате да изградите по-сложна конфигурация. Нека се опитаме да разгледаме някои от тях.
• Регистриране на потребителски достъп до Интернет. Дневникът може да се съхранява в текстов файл или ODBC-съвместима база данни.
• Масив от сървъри. За голяма локална мрежа можете да формирате масив от прокси сървъри, за да разпределите равномерно натоварването.
Допълнителни функции на Winsock Proxy
• Поддръжка на TCP/IP или IPX/SPX протоколи във вътрешната мрежа. Използвайки Winsock Proxy, потребителите във вашата мрежа могат да имат достъп до интернет
дори от компютри, които нямат инсталиран TCP/IP протокол.
• Защитен (селективен) достъп до интернет възли, регистриране на потребителски достъп до интернет и масив от сървъри. Тези функции работят по същия начин като еквивалентните уеб прокси функции.
Допълнителни функции на Socks Proxy
• Регистриране на потребителски достъп
Интернет и набор от сървъри. Тези функции работят по същия начин като еквивалентните уеб прокси функции.
Тази функция според мен е толкова важна и полезна, че реших да я отделя в отделен раздел. Строго погледнато, филтрирането на пакети не е част от задачите на класическия прокси сървър, а наличието му в Microsoft Proxy Server 2.0 го прави по-универсален софтуерен продукт.
отФилтрирането на пакети е деактивирано по подразбиране. За да го активирате, трябва да щракнете върху бутона Сигурност в диалоговия прозорец със свойства на която и да е прокси услуга. След това в диалоговия прозорец, показан на фиг. 10, трябва да поставите отметка в квадратчето Активиране на филтриране на пакети на външен интерфейс и да щракнете върху OK. Сега функцията за филтриране на пакети е активирана и е време да разберем какво всъщност сме включили.
Има два вида филтри: динамични и статични. Динамичните филтри се създават автоматично за нуждите на услугите на Microsoft Proxy Server и се унищожават автоматично, когато вече не са необходими. Това е много удобно, защото не изисква администраторът ръчно да създава филтри за всички типове пакети, които се използват от клиенти на Microsoft Proxy Server. Статичните филтри се създават ръчно (с изключение на филтъра за HTTP пакети, който се създава автоматично, когато уеб функцията е активирана) и съществуват постоянно. Списъкът със статични филтри се вижда в диалоговия прозорец на фиг. 10 под заглавие Изключения. По подразбиране този списък включва филтри за ICMP и DNS пакети. Можете да промените този списък с помощта на бутоните Добавяне, Премахване и Редактиране. Например, ако искате да хоствате пощенски сървър за поща и новини на един и същ компютър, тогава ще трябва да добавите филтри за SMTP и NNTP пакети.
Отивайки в разделите Предупреждение и Регистриране, можете да конфигурирате сървъра да предупреждава и регистрира определени събития, свързани със сигурността на вашия сайт. Това може да бъде много полезно за проследяване на възможна хакерска дейност около вашия сайт.