Обзор решений для выхода в интернет и защиты сети
Сергей «grinder» Яремчук (grinder@synack.ru)
Наличие подключения к интернету прибавляет забот любому админу. Раздача канала, обеспечение защиты внутренних ресурсов от внешних угроз, настройка учета трафика, контроль загрузки канала, блокировка доступа пользователей к определенным сайтам и сервисам – это только верхушка айсберга. Вот почему очень важно из великого многообразия доступных программных продуктов, позволяющих организовать работу пользователей в глобальной Сети, правильно выбрать надежное и полнофункциональное решение.
Содержание:
- UserGate Proxy & Firewall 5.1
- NetworkShield Firewall 2006
- Lan2net NAT Firewall 1.99
- ViPNet OFFICE FIREWALL 3.1
- WinProxy 1.5.3
- Заключение
- Врезка: RusRoute 1.3.3
- Боковые выносы
Разработчик: Entensys Web: www.usergate.ru Системные требования: Pentium 1 ГГц, 512 Мб ОЗУ ОС: Windows 2000/2003/XP
Предыдущая, четвертая версия этого продукта российской компании Entensys называлась просто UserGate и позиционировалась как прокси-сервер с функциями фильтрации и учета трафика. Назначение версии 5.х видно из названия. Теперь возможности по фильтрации, блокировке и контроля трафика занимают на сайте практически все описание. Доступ в Сеть обеспечивается применением нескольких технологий – NAT, прозрачный прокси (HTTP, FTP, POP3, SMTP, SOCKS), реализован также VoIP-шлюз (SIP, H323) для программных и аппаратных IP-телефонов. Возможно подключение к интернет через другой прокси. При наличии нескольких подключений к интернет возможно распределение по ним пользователей и резервирование канала. Программа имеет встроенный DHCP-сервер, реализован DNS форвардинг.
Администратор может задать максимальную скорость соединения, установить лимит на размер скачиваемого файла, а также список разрешенных приложений для каждого пользователя. Пользователь может быть авторизован по IP-адресу, IP+MAC, IP+MAC+логин, с помощью HTTP-авторизации или Active Directory. Некоторые виды авторизации и возможность контроля приложений потребуют дополнительной установки на клиентском компьютере Authentication Client, который находится в %usergate%\tools. Модуль Bandwidth Manager позволяет резервировать канал для определенного типа трафика.
UserGate позволяет гибко управлять трафиком и его учетом (по времени и количеству). Можно задать несколько тарифов, привязать их к пользователям или группам, устанавливать временные интервалы действия тарифов и трафик, который не должен попадать в статистику.
Администратор может запретить посещать сайты определенного содержания, просто отобрав их среди 70 категорий, возможна блокировка по URL и адресу, но это потребует больших усилий. Анализ поля Content-type в HTTP-запросе позволяет контролировать и при необходимости блокировать закачку файлов любых расширений. Одной из главных особенностей UserGate является проверка трафика при помощи двух встроенных антивирусных модулей: Антивирус Касперского и Panda Antivirus (лицензия на антивири приобретается отдельно). Администратор может выбирать, что и каким антивирусом проверять, а также очередность проверки. Реализовано удаленное управление с помощью локализованной консоли администрирования.
В версии 5.x появился новый модуль статистики, где в наглядной форме как администратор, так и пользователь (естественно, только свои данные) может получить любую информацию по трафику, в том числе и по продолжительности VoIP переговоров. Реализован экспорт собранных данных в MS Excel, OpenOffice.org Calc и HTML. Программа имеет встроенный планировщик, который может автоматизировать определенные задачи: запустить программу, обновить антивирусные базы, разослать статистику, установить или разорвать соединение.
Установка продукта сложности не вызывает: несколько раз нажимаем Далее, при необходимости отбираем отдельные компоненты. Консоль администрирования достаточно проста, и представляя конечный результат, можно разобраться в назначении элементов, не заглядывая в прилагаемое руководство (кстати, краткое, но понятное). Все сетевые подключения после установки можно найти в «Сервер UserGate – Интерфейсы». Так как это основная вкладка, на основе настроек которой будет считаться трафик, резервироваться канал, работать NAT и всевозможные ограничения, то следует сюда зайти и указать тип соединения для каждого адаптера. Внешние сети должны иметь тип WAN, внутренние – LAN. Тип VPN и PPPoE соединений изменить нельзя, они всегда установлены в PPP.
Брандмауэр по умолчанию содержит только одно правило, причем разрешающее все соединения. С одной стороны это удобно, так как все работает «из коробки», с другой – администратору придется некоторое время уделить его настройке, чтобы защитить свою сеть. Начинать, очевидно, следует с того, что сделать это правило запрещающим, а затем уже разрешать действительно нужные соединения, заглядывая в логи. Правило firewall создается при помощи пошагового мастера. Для этого следует указать название правила, источник и назначение (любой, хост и WAN интерфейс), сервисы, действие (блокировать, разрешить, NAT). Созданное правило можно редактировать, удалить, переместить, отключить, копировать, чтобы на его основе создать новое. Внутренние ресурсы компании, которые должны быть доступны «из вне», необходимо публиковать, создав для них правило доступа.
В настройках отдельного пользователя указываются преобразования NAT, правила управления трафиком, правила приложений, ограничение скорости, номер SIP/H323 телефона.
Перейдя в пункт Мониторинг, можно просмотреть в реальном времени активные сессии и при необходимости заблокировать некоторые из них. Администратор получит информацию по IP-адресу компьютера, имени пользователя, точному количеству переданного и полученного трафика и по посещенным адресам.
Функциональность 9/10 Удобство управления 8/10 Работа с пользователями 9/10 Мониторинг и статистические отчеты 8/10
Рис. 1. UserGate позволяет проверять трафик с помощью двух антивирусных движков
Разработчик: NetSib Web: www.networkshield.ru Системные требования: Pentium II от 300 МГц, 256 Мб ОЗУ ОС: Windows 2000/XP/2003
NetworkShield Firewall 2006 создан на основе драйвера обработки сетевого трафика, поддерживающего технологию NAT. Помимо обеспечения выхода в интернет через один канал, позволяет управлять доступом между сетями, контролировать работу пользователей, имеет средства учета трафика. За безопасность отвечает файервол, умеющий также определять и блокировать некоторые типы атак (SYN flood, IP spoofing). Безопасность соединений гарантирует технология защиты под названием Adaptive Connections Control (Stateful Firewall на основе логических объектов).
Установка продукта очень проста. После выбора русского языка просто жмем Далее и соглашаемся со всем, что предлагают. По окончании запустится «Мастер настройки сети», его задача – произвести первоначальную настройку безопасности. Пока мастер не закончит работу, все исходящие соединения будут разрешены. Вначале вводим пароль админа, указываем интерфейс, к которому подключена локальная сеть, затем диапазон адресов, входящих в LAN. Если LAN сетей несколько, их настройки указываем позднее, используя панель управления NSF. Затем выбираем WAN интерфейс, определяем сервисы, к которым разрешен доступ из LAN (все или отдельные), и наконец, определяем, к каким сервисам на сервере NSF разрешен доступ из WAN.
Кстати, не факт, что по окончании работы мастера все пользователи сразу получат доступ в Сеть. В этом NSF сильно отличается от UserGate.
Основные установки производятся в панели управления NSF, она локализована, логична и построена стандартно для такого типа программ. Настроек несколько меньше, чем в UserGate, плюс большая их часть производится при помощи пошаговых мастеров, поэтому конфигурировать NSF довольно просто.
После работы мастера в «Правила firewall» будет записано несколько рулесетов, разделенных на две группы: предопределенные и пользовательские. В предопределенных правилах можно изменять и отключать лишь некоторые параметры. Последним по списку установлено правило, запрещающее все соединения, его изменить или отключить нельзя.
При создании нового правила помогает пошаговый мастер. Админу предлагается ответить на ряд вопросов: название, тип (доступ или публикация), действие (разрешить, запретить), протокол (все или на выбор), источник и назначение. По окончании создания правила его можно отредактировать, здесь же появляется возможность задать расписание.
Для удобства настройки правил firewall и правил учета трафика создаются объекты. Объектами могут быть компьютеры, диапазоны IP, пользователи. Аутентификация пользователей возможна средствами NSF или Windows, в том числе поддерживается и Active Directory. На клиентских компьютерах дополнительно требуется установить клиент авторизации (скачать его можно с расшаренной папки \\nsf\nsclient), позволяющий использовать при подключении динамические IP-адреса.
Система квот и учета трафика дает возможность задать лимит трафика (вкладка «Квоты трафика») за определенный период (день, неделя, и т.д.) и действие при его достижении (ничего не делать или заблокировать). После создания квота подключается к объектам в «Правила учета трафика». Вкладка «Мониторинг» позволяет отслеживать в реальном времени активность объектов в сети.
Функциональность 8/10 Удобство управления 8/10 Работа с пользователями 9/10 Мониторинг и статистические отчеты 8/10
Рис. 2. В NetworkShield Firewall правила помогает создавать пошаговый мастер
Разработчик: ООО "Ростбиохим" Web: www.lan2net.ru Системные требования: Pentium II от 300 МГц, 256 Мб ОЗУ ОС: Windows 2000/2003/XP
Этот продукт разработан специально для применения в небольших офисах, где необходимо обеспечить безопасный доступ в интернет без привлечения специалистов. Для этого есть все необходимое: NAT, перенаправление соединений для доступа к внутренним сервисам «из вне», DNS Forwarder. Защита обеспечивается файерволом сетевого уровня. Имеется возможность ручного создания белого и черного списка веб-адресов, куда можно прописывать URL, домен и поддомен, а также расширения файлов (к счастью, при составлении таких правил разрешается использование символов подстановки ? и *). Реализована система учета трафика с установлением индивидуальных квот. При перерасходе возможна блокировка доступа пользователя в интернет с предоставлением только необходимых для работы ресурсов (почта, корпоративный веб-сайт). Предусмотрено несколько вариантов аутентификации: NTLM, Windows, логин/пароль, IP, MAC, IP+MAC, диапазон IP, с помощью клиента Lan2net Login Client и без аутентификации.
Для удобства управления и создания правил доступа пользователи объединяются в группы. При этом учетную запись очень просто перенести в другую группу, достаточно захватить имя и перетащить мышкой на новое место. Средствами Lan2net легко создать группы, которым разрешен, например, доступ к только к почте или веб-сервисам.
Инсталляция продукта тривиальна. Сразу после ее окончания будет предложено войти в консоль, здесь же предлагается сменить пароль администратора (по умолчанию он пустой). После установки Lan2net находится в режиме настройки, при котором firewall отключен, и все пакеты проходят без фильтрации. Мастер быстрой настройки, появляющийся при первом запуске консоли, поможет быстро сформировать нужные правила. Здесь всего несколько шагов – выбор конфигурации (сервер, клиентский комп), далее указываем WAN и LAN интерфейсы, NAT уже включен. После завершения работы мастера разрешены любые соединения из LAN, и блокируются все подключения из внешней сети. Если присутствует несколько LAN интерфейсов, их затем следует добавлять в консоли, во вкладке «Интерфейсы».
Следует помнить, что правила firewall разбиты на две группы: правила, настраиваемые в разделе «Правила Firewall», имеют более высокий приоритет перед настройками в правилах пользователей. Поэтому общие блокировки и контроль определенного типа трафика (веб, почта и т.п.) прописываем в «Правила Firewall», а персональные в «Группы и правила пользователей», которые обрабатываются в том случае, если не сработали первые. Все настройки в Lan2net производятся при помощи мастеров, поэтому разобраться будет просто.
Вкладка «Мониторинг» позволяет просматривать текущие соединения, здесь же, используя контекстное меню, можно на основе определенного события создать правило firewall. В отдельной вкладке доступен журнал логов, где можно сформировать отчет по любому событию. Также для просмотра статистики (админом и пользователями) Lan2net имеет встроенный веб-сервер.
Функциональность 7/10 Удобство управления 8/10 Работа с пользователями 9/10 Мониторинг и статистические отчеты 8/10
Рис. 3. В Lan2Net правила разделены на правила firewall и пользовательские
Разработчик: ОАО "ИнфоТеКС" Web: www.infotecs.ru Системные требования: Pentium III от 500 МГц, 512 Мб ОЗУ ОС: Windows 2000/XP/2003/Vista/2008, есть Linux версия
Продукт от ИнфоТеКС позиционируется как файервол, предназначенный для защиты сетей небольших и средних компаний. Подключение клиентов к интернет реализуется путем динамического NAT, статическая трансляция сетевых адресов позволяет публиковать во внешней сети внутренние сервера. Продукт работает с любым количеством сетевых адаптеров, поддерживает различные методы подключения к Сети. Предусмотрена возможность назначить для каждого сетевого интерфейса диапазон допустимых IP-адресов, что позволяет блокировать системы с адресами из другой зоны (анти-спуфинг). Учитывая, что никаких других возможностей по аутентификации отдельного пользователя нет, эта функция лишней не будет.
Кроме этого, каждый адаптер может устанавливаться в один из 5 режимов безопасности. Так первый режим блокирует, а пятый разрешает весь IP-трафик. Режим 4 действует на локальные соединения, разрешая весь трафик. Эти режимы не являются рабочими и рекомендуются только на период тестирования. При обычной эксплуатации обычно задействуются второй и третий режим. Режим 2 установлен по умолчанию и блокирует все соединения, кроме явно разрешенных в правилах. В режиме 3 файервол пропускает исходящие соединения, кроме явно запрещенных, и блокирует входящие соединения. Наиболее оптимальным является установка внешнего адаптера в режим 2 (или 3), внутреннего в режим 3 (2, иногда 4), а затем донастройка под конкретную задачу, если текущих установок будет недостаточно. Настройки сетевых фильтров можно активировать по расписанию, что несомненно упростит жизнь админу (например, можно отключить на ночь все ненужные соединения). Система обнаружения атак (IDS) распознает и блокирует наиболее распространенные сетевые атаки (WinNuke, Land, Teardrop, Ssping, Tear2, NewTear, Bonk, Boink, Dest_Unreach, UDP flood, Ping flood, OOBnuke и т.д.) во входящем и исходящем потоке (активируется дополнительно).
ViPNet OF осуществляет обработку прикладных протоколов FTP, HTTP, SIP, при необходимости администратор может уточнить этот список. При работе на локальной системе контролируются и приложения, требующие доступа в Сеть. При попытке соединиться с удаленным узлом администратор получает уведомление, в котором можно разрешить или запретить работу с сетью указанному приложению. Функция веб-фильтрации позволяет блокировать баннеры, интерактивные элементы веб-страниц, а также Referrer и Cookie, позволяющие отследить действия пользователя в интернете.
Еще одна особенность – возможность создания нескольких конфигураций и быстрого переключения между ними. Реализована простая статистика по пропущенным и блокированным IP-пакетам и журнал IP-пакетов. Последний позволяет отобрать, основываясь на различных критериях, и просмотреть подробности событий. Результат затем можно экспортировать в HTML или Excel. К сожалению, возможностей по учету трафика нет.
Интерфейс консоли управления достаточно прост и интуитивно понятен. Доступны следующие пункты: Сетевые фильтры, Сетевые интерфейсы, Трансляция адресов, Блокированные IP-пакеты, Статистика, Обнаружение атак, Журнал IP-пакетов, Конфигурация.
Заблокированные пакеты отображаются в одноименном окне. Используя эту информацию из контекстного меню, можно создать новое правило доступа или фильтр протоколов. При ручном создании правила в окне «Сетевые фильтры» следует указать IP-адреса и интерфейсы, после создания правила можно добавить к нему фильтр протоколов, указав протокол, направление действия и расписание.
Функциональность 6/10 Удобство управления 8/10 Работа с пользователями 5/10 Мониторинг и статистические отчеты 6/10
Рис. 4. Журнал регистрации IP-пакетов в ViPNet Firewall
Разработчик: LAN-Projekt Web: www.winproxy.net/indexru.html Системные требования: 80486, 8 Мб ОЗУ ОС: Windows 95/98/ME/NT/2000 (официально), работает и в Windows XP/2003
В отличие от остальных продуктов, поддерживающих NAT, WinProxy является классическим прокси-сервером. При его использовании пользователи должны настроить приложения для выхода через промежуточный узел, в качестве сервера указав адрес системы с WinProxy и порт (по умолчанию 3128). Хотя это, можно сказать, единственная настройка, которую предстоит выполнить. Поддерживается работа с HTTP, HTTPS, FTP, Telnet, NNTP, SMTP/POP3 (по умолчанию отключен), Real Audio, GOPHER и SOCKS. При этом WinProxy может быть не только шлюзом SMTP/POP3, но и являться почтовым сервером, умеющим отправлять, собирать и рассортировывать почту с нескольких POP3 ящиков. Необходимое переключение и настройки производятся в меню Mail.
Функция Port Mapping позволяет перенаправлять соединения к удаленным портам, поэтому можно без проблем настроить подключение к ICQ, IRC и другим сервисам. Возможность кэширования HTTP, FTP и GOPHER трафика дает возможность снизить нагрузку на канал. Предусмотрен вызов по требованию для dial-up (PPPoE, модем и т.п.) подключений. Возможно каскадирование прокси-серверов.
WinProxy поддерживает до 900 пользователей, которые могут входить в 100 групп. Доступ реализован посредством ввода логина и пароля.
Управление настройками производится при помощи браузера, для чего следует подключиться к 3129 порту. В целях безопасности можно указать сетевые адреса, с которых разрешено управление.
Функциональность 6/10 Удобство управления 7/10 Работа с пользователями 5/10 Мониторинг и статистические отчеты 5/10
Рис. 5. Почтовый сервер WinProxy позволяет отправлять e-mail и собирать почту с нескольких ящиков
Как видишь, доступные решения очень сильно отличаются функционально (и, конечно же, ценой), поэтому следует присмотреться к ним и выбрать наиболее подходящий продукт под конкретные условия и задачи. Среди лидеров можно выделить UserGate – единственный из обзора, умеющий проверять трафик антивирусом, причем сразу двумя. Он будет полезен также в том случае, если понадобится SIP-сервер для внутренних переговоров.
– маршрутизирующий файервол, предназначенный для организации выхода в интернет с одного IP. Обладает функциями защиты от сетевых атак, учета и ограничения трафика. Возможна активация действий по расписанию. RusRoute также может использоваться как сервер VPN. Пользователи для входа в систему (порт 10000) используют логин и пароль, либо клиентское приложение RRClient.exe. Работает под управлением 32 и 64 битных версий Windows XP/2003/Vista/2008/Seven. Довольно простая в управлении программа, и самое главное, что для русскоязычного домашнего пользователя и некоммерческих организаций ее можно использовать бесплатно и без ограничения времени действия ключа (предоставляется на 8 систем). Для этого на странице «О программе» нужно ввести: «RR-0008-Гражданин бывшего СНГ» и проверить ключ, выбрав в контекстном меню «Verify key and generate activation request». Если получено подтверждение «Key is valid», на ошибку в активации внимания можно не обращать.
Рис. 6. Особенность RusRoute - встроенный VPN-сервер
INFO
-
О Kerio WinRoute Firewall читай в статье «Марш-бросок в большую сеть», опубликованной в сентябрьском номере ][ за 2007 год.
- UserGate имеет встроенный SIP-сервер.
- Особенностью WinProxy является наличие почтового сервера.
VIDEO
-
На прилагаемом к журналу диске ты найдешь видеоролик, в котором показано, как установить и настроить UserGate Proxy & Firewall 5.1.
Статья опубликована в июльском номере журнала «Xakep» за 2009 год.