En este artículo les hablaré sobre un nuevo producto de Entensys, del cual somos socios en tres áreas, UserGate Proxy & Firewall 6.2.1.

Buenos días, querido visitante. El año 2013 quedó atrás, para algunos fue difícil, para otros fue fácil, pero el tiempo vuela, y si consideramos que un nanosegundo son 10 −9 Con. entonces simplemente vuela. En este artículo les hablaré sobre un nuevo producto de Entensys, del cual somos socios en tres áreas UserGate Proxy & Firewall 6.2.1.

Desde el punto de vista de la administración de la versión 6.2 de UserGate Proxy & Firewall 5.2F, cuya implementación practicamos con éxito en nuestra práctica de subcontratación de TI, es prácticamente inexistente. Usaremos Hyper-V como entorno de laboratorio, es decir, dos máquinas virtuales de primera generación, una parte de servidor en Windows Server 2008 R2 SP1 y una parte de cliente en Windows 7 SP1. Por alguna razón que desconozco, la versión 6 de UserGate no se instala en Windows Server 2012 y Windows Server 2012 R2.

Entonces, ¿qué es un servidor proxy?

Servidor proxy(del proxy inglés - "representante, autorizado") es un servicio (conjunto de programas) en redes informáticas que permite a los clientes realizar solicitudes indirectas a otros servicios de red. Primero, el cliente se conecta al servidor proxy y solicita un recurso (por ejemplo, correo electrónico) ubicado en otro servidor. Luego, el servidor proxy se conecta al servidor especificado y obtiene el recurso de él, o devuelve el recurso desde su propio caché (en los casos en que el proxy tiene su propio caché). En algunos casos, el servidor proxy puede modificar la solicitud del cliente o la respuesta del servidor para ciertos propósitos. Un servidor proxy también le permite proteger la computadora del cliente de algunos ataques de red y ayuda a mantener el anonimato del cliente.

Quésemejante¿Proxy y cortafuegos UserGate?

Proxy y cortafuegos UserGate es una solución integral para conectar usuarios a Internet, proporcionando contabilidad completa del tráfico, control de acceso y protección de red integrada.

A partir de la definición, veamos qué soluciones ofrece Entensys en su producto, cómo se calcula el tráfico, cómo se limita el acceso y qué herramientas de protección proporciona UserGate Proxy & Firewall.

¿En qué consiste?¿Puerta de usuario?

UserGate consta de varias partes: un servidor, una consola de administración y varios módulos adicionales. El servidor es la parte principal del servidor proxy, en el que se implementa toda su funcionalidad. El servidor UserGate proporciona acceso a Internet, cuenta el tráfico, mantiene estadísticas de la actividad del usuario en la red y realiza muchas otras tareas.

UserGate Administration Console es un programa diseñado para administrar el servidor UserGate. La consola de administración de UserGate se comunica con la parte del servidor a través de un protocolo seguro especial a través de TCP/IP, que le permite realizar la administración remota del servidor.

UserGate incluye tres módulos adicionales: "Estadísticas web", "Cliente de autorización de UserGate" y el módulo "Control de aplicaciones".

Servidor

Instalar el lado del servidor UserGate es muy simple, la única diferencia es la elección de la base de datos durante el proceso de instalación. El acceso a la base de datos se realiza directamente (para la base de datos Firebird incorporada) o mediante un controlador ODBC, que permite al servidor UserGate trabajar con bases de datos de casi cualquier formato (MSAccess, MSSQL, MySQL). De forma predeterminada, se utiliza la base de datos Firebird. Si decide actualizar UserGate desde versiones anteriores, tendrá que despedirse de la base de datos de estadísticas porque: Para el archivo de estadísticas, solo se admite la transferencia de los saldos actuales de los usuarios; las estadísticas de tráfico en sí no se transferirán. Los cambios en la base de datos fueron causados ​​por problemas de rendimiento con la antigua y limitaciones en su tamaño. La nueva base de datos Firebird no tiene tales deficiencias.

Lanzando la consola de administración.

La consola está instalada en la VM del servidor. Cuando se inicia por primera vez, la consola de administración se abre en la página Conexiones, que contiene una única conexión al servidor localhost para el usuario Administrador. No se ha establecido la contraseña de conexión. Puede conectar la consola de administración al servidor haciendo doble clic en la línea localhost-administrator o haciendo clic en el botón de conexión en el panel de control. Puede crear múltiples conexiones en la consola de administración de UserGate.

La configuración de conexión especifica los siguientes parámetros:

• El nombre del servidor es el nombre de la conexión;
• Nombre de usuario: inicie sesión para conectarse al servidor;
• Dirección del servidor: nombre de dominio o dirección IP del servidor UserGate;
• Puerto: puerto TCP utilizado para conectarse al servidor (de forma predeterminada, se utiliza el puerto 2345);
• Contraseña – contraseña para la conexión;
• Solicitar contraseña al conectarse: esta opción le permite mostrar un cuadro de diálogo para ingresar su nombre de usuario y contraseña al conectarse al servidor;
• Conéctese automáticamente a este servidor: la consola de administración se conectará a este servidor automáticamente cuando se inicie.

Cuando inicia el servidor por primera vez, el sistema ofrece un asistente de instalación, que rechazamos. La configuración de la consola de administración se almacena en el archivo console.xml ubicado en el directorio %UserGate%\Administrator.

Configuración de conexiones detrás de NAT. Párrafo "Configuración general de NAT" le permite configurar el valor de tiempo de espera para conexiones NAT a través de protocolos TCP, UDP o ICMP. El valor del tiempo de espera determina la vida útil de una conexión de usuario a través de NAT cuando se completa la transmisión de datos a través de la conexión. Dejemos esta configuración por defecto.

detector de ataques es una opción especial que le permite habilitar el mecanismo interno para monitorear y bloquear el escáner de puertos o los intentos de ocupar todos los puertos del servidor.

Bloquear por línea del navegador– una lista de navegadores de User-Agent que pueden ser bloqueados por el servidor proxy. Aquellos. Puede, por ejemplo, impedir que navegadores antiguos como IE 6.0 o Firefox 3.x accedan a Internet.

Interfaces

La sección Interfaces es la principal en la configuración del servidor UserGate, ya que determina cuestiones como la exactitud del conteo del tráfico, la capacidad de crear reglas para el firewall, restricciones en el ancho del canal de Internet para el tráfico de un cierto tipo, la establecimiento de relaciones entre redes y el orden en que el controlador NAT procesa los paquetes. Pestaña “Interfaces”, seleccione el tipo deseado de interfaces. Entonces, para un adaptador conectado a Internet, debe seleccionar el tipo WAN, para un adaptador conectado a una red local, el tipo LAN. El acceso a Internet para la VM es compartido, respectivamente, la interfaz con la dirección 192.168.137.118 será un adaptador WAN, seleccione el tipo deseado y haga clic en "Aplicar". Luego reiniciamos el servidor.

Usuarios y grupos

El acceso a Internet se proporciona únicamente a los usuarios que hayan completado con éxito la autorización en el servidor UserGate. El programa admite los siguientes métodos de autorización de usuario:

• Por dirección IP
• Por rango de direcciones IP
• Por dirección IP+MAC
• Por dirección MAC
• Autorización mediante HTTP (HTTP-básico, NTLM)
• Autorización mediante inicio de sesión y contraseña (Cliente de autorización)
• Opción de autorización simplificada a través de Active Directory

Para utilizar los últimos tres métodos de autorización, debe instalar una aplicación especial en la estación de trabajo del usuario: el cliente de autorización UserGate. El paquete MSI correspondiente (AuthClientInstall.msi) se encuentra en el directorio %UserGate%\tools y se puede utilizar para la instalación automática mediante la Política de grupo en Active Directory.

Para los usuarios de terminales, solo se proporciona la opción "Autorización vía HTTP". La opción correspondiente está habilitada en el elemento Configuración general de la consola de administración.

Puedes crear un nuevo usuario a través del elemento. Agregar un nuevo usuario o haciendo clic en el botón Agregar en el panel de control de la página Usuarios y grupos.

Hay otra forma de agregar usuarios: escanear la red con solicitudes ARP. Debes hacer clic en un espacio vacío en la consola de administración de la página. usuarios y seleccione el elemento escanear la red local. A continuación, configure los parámetros de la red local y espere los resultados del análisis. Como resultado, verá una lista de usuarios que pueden agregarse a UserGate. Bueno, comprobemos, haga clic en "Escanear red local"

Establezca los parámetros:

¡Obras!

Agregar un usuario

Vale la pena recordar que UserGate tiene una prioridad de autenticación, primero física y luego lógica. Este método no es confiable, porque... el usuario puede cambiar la dirección IP. Lo que nos conviene es la importación de cuentas de Active Directory, que podemos importar fácilmente haciendo clic en el botón “Importar”, luego en “Seleccionar” y el nombre de nuestra cuenta, “Ok”, “Ok”.

Seleccione "Grupo", deje el valor predeterminado "predeterminado"

Haga clic en "Aceptar" y guarde los cambios.

Nuestro usuario fue agregado sin ningún problema. También es posible sincronizar grupos AD en la pestaña "Grupos".

Configurar servicios de proxy en UserGate

Los siguientes servidores proxy están integrados en el servidor UserGate: HTTP (con soporte para el modo “FTP sobre HTTP” y HTTPS - método Connect), FTP, SOCKS4, SOCKS5, POP3 y SMTP, SIP y H323. La configuración del servidor proxy está disponible en la sección Servicios → Configuración de proxy en la consola de administración. La configuración principal del servidor proxy incluye: la interfaz y el número de puerto en el que opera el proxy. Entonces, por ejemplo, habilitemos un proxy HTTP transparente en nuestra interfaz LAN. Vayamos a "Configuración de proxy" y seleccionemos HTTP.

Seleccionemos nuestra interfaz, dejemos todo como predeterminado y hagamos clic en "Aceptar".

Usando el modo transparente

La función "Modo transparente" en la configuración del servidor proxy está disponible si el servidor UserGate está instalado junto con el controlador NAT. En modo transparente, el controlador NAT UserGate escucha los puertos estándar para servicios: 80 TCP para HTTP, 21 TCP para FTP, 110 y 25 TCP para POP3 y SMTP en las interfaces de red de la computadora con UserGate. Si hay solicitudes, las transfiere al servidor proxy UserGate apropiado. Cuando se utiliza el modo transparente en aplicaciones de red, los usuarios no necesitan especificar la dirección y el puerto del servidor proxy, lo que reduce significativamente el trabajo del administrador en términos de proporcionar acceso a Internet en la red local. Sin embargo, en la configuración de red de las estaciones de trabajo, se debe especificar el servidor UserGate como puerta de enlace y se debe especificar la dirección del servidor DNS.

Proxies de correo en UserGate

Los servidores proxy de correo en UserGate están diseñados para funcionar con los protocolos POP3 y SMTP y para el análisis antivirus del tráfico de correo. Cuando se utiliza el modo de funcionamiento transparente de POP3 y proxy SMTP, la configuración del cliente de correo en la estación de trabajo del usuario no difiere de la configuración correspondiente a la opción con acceso directo a Internet.

Si el proxy UserGate POP3 se utiliza en modo opaco, entonces en la configuración del cliente de correo en la estación de trabajo del usuario, se debe especificar la dirección IP de la computadora con UserGate y el puerto correspondiente al proxy UserGate POP3 como dirección del servidor POP3. Además, el inicio de sesión para autorización en el servidor POP3 remoto se especifica en el siguiente formato: dirección_correo electrónico@dirección_servidor_POP3. Por ejemplo, si el usuario tiene un buzón [correo electrónico protegido], luego, como inicio de sesión para el proxy UserGate POP3 en el cliente de correo, deberá especificar: usar [correo electrónico protegido]@pop.mail123.com. Este formato es necesario para que el servidor UserGate pueda determinar la dirección del servidor POP3 remoto.

Si el proxy SMTP de UserGate se usa en modo no transparente, entonces en la configuración del proxy debe especificar la dirección IP y el puerto del servidor SMTP que UserGate usará para enviar cartas. En este caso, en la configuración del cliente de correo en la estación de trabajo del usuario, se debe especificar la dirección IP del servidor UserGate y el puerto correspondiente al proxy SMTP de UserGate como dirección del servidor SMTP. Si se requiere autorización para enviar, en la configuración del cliente de correo debe especificar el nombre de usuario y la contraseña correspondientes al servidor SMTP, que se especifica en la configuración del proxy SMTP en UserGate.

Bueno, eso suena genial, veámoslo usando mail.ru.

En primer lugar, habilitemos los servidores proxy POP3 y SMTP en nuestro servidor. Al habilitar POP3, especificaremos la interfaz LAN como puerto estándar 110.

Y también asegúrese de que no haya ninguna marca de verificación para "Proxy transparente" y haga clic en "Aceptar" y "Aplicar".

Desmarque "Modo transparente" y escriba "Configuración del servidor remoto", en nuestro caso smtp.mail.ru. ¿Por qué sólo se indica un servidor? Y aquí está la respuesta: se supone que la organización utiliza un único servidor SMTP, y es este servidor el que se indica en la configuración del proxy SMTP.

La primera regla para POP3 debería verse así.

En segundo lugar, como diría Alexander Nevsky "Como esto"

No te olvides del botón "Aplicar" y continúa con la configuración del cliente. Como recordamos, “Si el proxy UserGate POP3 se utiliza en modo opaco, entonces en la configuración del cliente de correo en la estación de trabajo del usuario, la dirección IP de la computadora con UserGate y el puerto correspondiente al proxy UserGate POP3 deben especificarse como la dirección del servidor POP3. Además, el inicio de sesión para autorización en el servidor POP3 remoto se especifica en el siguiente formato: dirección_correo electrónico@dirección_servidor_POP3." Actuemos.

Primero, inicie sesión en el cliente de autorización, luego abra Outlook normal; en nuestro ejemplo, creé un buzón de prueba [correo electrónico protegido] y configurarlo especificando nuestro buzón en un formato comprensible para UserGate [correo electrónico protegido]@pop.mail.ru, así como servidores POP y SMTP, nuestra dirección proxy.

Haga clic en "Verificación de cuenta..."

Asignación de puerto

UserGate admite la función de reenvío de puertos. Si existen reglas de asignación de puertos, el servidor UserGate redirige las solicitudes de los usuarios que llegan a un puerto específico de una interfaz de red determinada de una computadora con UserGate a otra dirección y puerto específicos, por ejemplo, a otra computadora en la red local. La función de reenvío de puertos está disponible para los protocolos TCP y UDP.

Si se utiliza la asignación de puerto para proporcionar acceso desde Internet a un recurso interno de la empresa, debe seleccionar Usuario especificado como parámetro de Autorización; de lo contrario, el reenvío de puerto no funcionará. No olvide habilitar el Escritorio remoto.

Configuración de caché

Uno de los propósitos de un servidor proxy es almacenar en caché los recursos de la red. El almacenamiento en caché reduce la carga de su conexión a Internet y acelera el acceso a los recursos visitados con frecuencia. El servidor proxy UserGate almacena en caché el tráfico HTTP y FTP. Los documentos almacenados en caché se colocan en la carpeta local %UserGate_data%\Cache. La configuración de caché indica el tamaño máximo de caché y el tiempo de almacenamiento de los documentos almacenados en caché.

Escaneo antivirus

Tres módulos antivirus están integrados en el servidor UserGate: el antivirus Kaspersky Lab, Panda Security y Avira. Todos los módulos antivirus están diseñados para escanear el tráfico entrante a través de servidores proxy de correo HTTP, FTP y UserGate, así como el tráfico saliente a través de servidores proxy SMTP.

La configuración del módulo antivirus está disponible en la sección Servicios → Antivirus de la consola de administración. Para cada antivirus, puede especificar qué protocolos debe analizar, establecer la frecuencia de actualización de las bases de datos antivirus y también especificar las URL que no necesitan ser analizadas (opción de filtro de URL). Además, en la configuración puede especificar un grupo de usuarios cuyo tráfico no necesita ser sometido a un análisis antivirus.

Antes de activar el antivirus, primero debes actualizar su base de datos.

Después de las funciones anteriores, pasemos a las más utilizadas, estas son “Gestión del tráfico” y “Control de aplicaciones”.

Sistema de reglas de control de tráfico.

El servidor UserGate brinda la capacidad de controlar el acceso de los usuarios a Internet mediante reglas de administración de tráfico. Las reglas de control de tráfico están diseñadas para prohibir el acceso a ciertos recursos de la red, establecer restricciones en el consumo de tráfico, crear un horario para los usuarios en Internet y también monitorear el estado de las cuentas de los usuarios.

En nuestro ejemplo, restringiremos el acceso a un usuario que tenga referencias a vk.com en su solicitud. Para hacer esto, vaya a “Gestión de tráfico – Reglas”

Asigne un nombre a la regla y la acción "Cerrar conexión"

Después de agregar el sitio, pase al siguiente parámetro, seleccionando un grupo o usuario, la regla se puede configurar tanto para el usuario como para el grupo, en nuestro caso el usuario “Usuario”.

Control de aplicaciones

La política de control de acceso a Internet recibió una continuación lógica en forma del módulo Application Firewall. El administrador de UserGate puede permitir o denegar el acceso a Internet no sólo a los usuarios, sino también a las aplicaciones de red en la estación de trabajo del usuario. Para hacer esto, debe instalar una aplicación especial App.FirewallService en las estaciones de trabajo de los usuarios. La instalación del paquete es posible tanto a través del archivo ejecutable como a través del paquete MSI correspondiente (AuthFwInstall.msi), ubicado en el directorio %Usergate%\tools.

Vayamos al módulo "Control de aplicaciones - Reglas" y creemos una regla de prohibición, por ejemplo, para prohibir el inicio de IE. Haga clic en agregar un grupo, asígnele un nombre y establezca una regla para el grupo.

Seleccionamos nuestro grupo de reglas creado, podemos marcar la casilla de verificación “Regla predeterminada”, en este caso las reglas se agregarán al grupo “Reglas_predeterminadas”

Aplicar una regla a un usuario en las propiedades del usuario

Ahora instalamos Auth.Client y App.Firewall en la estación cliente; después de la instalación, IE debería estar bloqueado por las reglas creadas anteriormente.

Como podemos ver, la regla funcionó, ahora deshabilitemos las reglas para que el usuario vea cómo funciona la regla para el sitio vk.com. Después de deshabilitar la regla en el servidor Usergate, debe esperar 10 minutos (tiempo de sincronización con el servidor). Intentemos acceder al enlace directo.

Lo intentamos a través del buscador google.com.

Como puede ver, las reglas funcionan sin ningún problema.

Por lo tanto, este artículo cubre sólo una pequeña parte de las funciones. Se omiten las posibles configuraciones para el firewall, las reglas de enrutamiento y las reglas NAT. UserGate Proxy & Firewall ofrece una amplia gama de soluciones, incluso un poco más. El producto funcionó muy bien y, lo más importante, fue fácil de configurar. ¡Continuaremos usándolo en el servicio de infraestructuras de TI de los clientes para resolver problemas típicos!

Hoy en día, la dirección de todas las empresas probablemente ya haya apreciado las oportunidades que ofrece Internet para hacer negocios. Por supuesto, no estamos hablando de tiendas online y comercio electrónico, que, digan lo que digan, hoy son más herramientas de marketing que una forma real de incrementar la facturación de bienes o servicios. La red global es un excelente entorno de información, una fuente casi inagotable de una amplia variedad de datos. Además, proporciona una comunicación rápida y económica tanto con clientes como con socios de la empresa. No se puede descartar el potencial de Internet para el marketing. Así, resulta que la Red Global, en general, puede considerarse una herramienta empresarial multifuncional que puede aumentar la eficiencia de los empleados de la empresa en el desempeño de sus funciones.

Sin embargo, primero debe proporcionar a estos empleados acceso a Internet. Simplemente conectar una computadora a la red global no es un problema hoy en día. Hay muchas maneras de hacer esto. También hay muchas empresas que ofrecen una solución práctica a este problema. Pero es poco probable que Internet en una computadora pueda aportar beneficios notables a la empresa. Todo empleado debería tener acceso a Internet desde su lugar de trabajo. Y aquí no podemos prescindir de un software especial, el llamado servidor proxy. En principio, las capacidades de los sistemas operativos de la familia Windows permiten que cualquier conexión a Internet sea común. En este caso, otros ordenadores de la red local tendrán acceso a él. Sin embargo, no vale la pena considerar esta decisión al menos seriamente. El caso es que a la hora de elegirlo tendrás que olvidarte del control sobre el uso de la Red Global por parte de los empleados de la empresa. Es decir, cualquier persona desde cualquier ordenador corporativo puede acceder a Internet y hacer allí lo que quiera. Y probablemente no sea necesario explicar a nadie lo que esto amenaza.

Por tanto, la única forma aceptable para que una empresa organice la conexión de todas las computadoras incluidas en la red local corporativa es un servidor proxy. Hoy en día existen muchos programas de esta clase en el mercado. Pero sólo hablaremos de un desarrollo. Se llama UserGate y fue creado por especialistas de eSafeLine. Las características principales de este programa son su amplia funcionalidad y una interfaz en ruso muy conveniente. Además, cabe destacar que está en constante evolución. Recientemente, se presentó al público una nueva cuarta versión de este producto.

Entonces, Puerta de Usuario. Este producto de software consta de varios módulos separados. El primero de ellos es el propio servidor. Debe instalarse en una computadora conectada directamente a Internet (Internet Gateway). Es el servidor que proporciona acceso a los usuarios a la Red Global, cuenta el tráfico utilizado, mantiene estadísticas de operación, etc. El segundo módulo está destinado a la administración del sistema. Con su ayuda, el empleado responsable realiza toda la configuración del servidor proxy. La característica principal de UserGate a este respecto es que el módulo de administración no tiene que estar ubicado en la puerta de enlace de Internet. Por tanto, estamos hablando de control remoto del servidor proxy. Esto es muy bueno, ya que el administrador del sistema tiene la oportunidad de gestionar el acceso a Internet directamente desde su lugar de trabajo.

Además, UserGate incluye dos módulos de software independientes más. El primero de ellos es necesario para ver cómodamente las estadísticas de uso de Internet y crear informes basados ​​​​en ellas, y el segundo es para autorizar a los usuarios en algunos casos. Este enfoque combina bien con la interfaz intuitiva y en ruso de todos los módulos. En conjunto, esto le permite configurar rápidamente y sin problemas el acceso compartido a la Red Global en cualquier oficina.

Pero pasemos a analizar la funcionalidad del servidor proxy UserGate. Debemos comenzar con el hecho de que este programa implementa inmediatamente dos métodos diferentes para configurar DNS (quizás la tarea más importante al implementar el acceso público). El primero de ellos es NAT (Traducción de direcciones de red). Proporciona una contabilidad muy precisa del tráfico consumido y permite a los usuarios utilizar cualquier protocolo permitido por el administrador. Sin embargo, cabe señalar que algunas aplicaciones de red no funcionarán correctamente en este caso. La segunda opción es el reenvío de DNS. Tiene mayores limitaciones en comparación con NAT, pero se puede utilizar en ordenadores con familias operativas más antiguas (Windows 95, 98 y NT).

Los permisos de Internet se configuran utilizando los términos "usuario" y "grupo de usuarios". Además, curiosamente, en el servidor proxy UserGate, el usuario no es necesariamente una persona. Una computadora también puede desempeñar su papel. Es decir, en el primer caso, se permite el acceso a Internet a determinados empleados, y en el segundo, a todas las personas sentadas frente a una PC. Naturalmente, se utilizan diferentes métodos de autorización de usuarios. Si hablamos de computadoras, pueden identificarse por su dirección IP, una combinación de direcciones IP y MAC o un rango de direcciones IP. Para autorizar a los empleados, se pueden utilizar pares especiales de inicio de sesión/contraseña, datos de Active Directory, nombre y contraseña que coincidan con la información de autorización de Windows, etc.. Para facilitar la configuración, los usuarios se pueden combinar en grupos. Este enfoque le permite administrar el acceso de todos los empleados con los mismos derechos (en las mismas posiciones) a la vez, en lugar de configurar cada cuenta por separado.

El servidor proxy UserGate también tiene su propio sistema de facturación. El administrador puede establecer cualquier número de tarifas que describan cuánto cuesta una unidad de tráfico entrante o saliente o el tiempo de conexión. Esto le permite mantener registros precisos de todos los gastos de Internet vinculados a los usuarios. Es decir, la dirección de la empresa siempre sabrá quién gastó cuánto. Por cierto, las tarifas pueden depender de la hora actual, lo que permite reproducir con precisión la política de precios del proveedor.

El servidor proxy UserGate le permite implementar cualquier política corporativa de acceso a Internet, por compleja que sea. Para ello se utilizan las llamadas reglas. Con su ayuda, el administrador puede establecer restricciones para los usuarios sobre el tiempo de funcionamiento, sobre la cantidad de tráfico enviado o recibido por día o mes, sobre la cantidad de tiempo utilizado por día o mes, etc. Si se exceden estos límites, el acceso a la La red global se bloqueará automáticamente. Además, mediante reglas, puede imponer restricciones a la velocidad de acceso de usuarios individuales o de grupos completos de ellos.

Otro ejemplo del uso de reglas son las restricciones de acceso a determinadas direcciones IP o sus rangos, a nombres de dominio completos o direcciones que contienen determinadas cadenas, etc. Es decir, de hecho, estamos hablando de filtrar sitios con la ayuda de los cuales Puede excluir visitas de empleados de proyectos web no deseados. Pero, por supuesto, estos no son todos ejemplos de la aplicación de las normas. Con su ayuda, puede, por ejemplo, cambiar las tarifas según el sitio que se esté cargando actualmente (es necesario tener en cuenta el tráfico preferencial que existe con algunos proveedores), configurar la eliminación de banners publicitarios, etc.

Por cierto, ya hemos dicho que el servidor proxy UserGate tiene un módulo separado para trabajar con estadísticas. Con su ayuda, el administrador puede ver el tráfico consumido en cualquier momento (total, para cada usuario, para grupos de usuarios, para sitios, para direcciones IP de servidores, etc.). Además, todo esto se hace muy rápidamente mediante un cómodo sistema de filtrado. Además, este módulo implementa un generador de informes, con el que el administrador puede preparar cualquier informe y exportarlo al formato MS Excel.

Una solución muy interesante de los desarrolladores es integrar un módulo antivirus en el firewall, que controla todo el tráfico entrante y saliente. Además, no reinventaron la rueda, sino que integraron el desarrollo de Kaspersky Lab. Esta solución garantiza, en primer lugar, una protección verdaderamente fiable contra todos los programas maliciosos y, en segundo lugar, una actualización periódica de las bases de firmas. Otra característica importante en términos de seguridad de la información es el firewall integrado. Y así fue creado por los desarrolladores de UserGate de forma independiente. Desafortunadamente, vale la pena señalar que el firewall integrado en el servidor proxy tiene capacidades bastante diferentes a las de los productos líderes en esta área. Estrictamente hablando, estamos hablando de un módulo que simplemente bloquea el tráfico que pasa a través de puertos y protocolos especificados por el administrador hacia y desde computadoras con direcciones IP específicas. No tiene un modo de invisibilidad ni otras funciones que generalmente se requieren para los firewalls.

Desafortunadamente, un artículo no puede incluir un análisis detallado de todas las funciones del servidor proxy UserGate. Por lo tanto, al menos enumeremos los más interesantes, no incluidos en nuestra revisión. En primer lugar, se trata del almacenamiento en caché de archivos descargados de Internet, lo que le permite realmente ahorrar dinero en los servicios del proveedor. En segundo lugar, cabe destacar la función de mapeo de puertos, que le permite vincular cualquier puerto seleccionado de una de las interfaces Ethernet locales al puerto deseado del host remoto (esta función es necesaria para el funcionamiento de aplicaciones de red: sistemas banco-cliente , juegos varios, etc.). Además, el servidor proxy UserGate implementa funciones como acceso a recursos corporativos internos, un programador de tareas, conexión a una cascada de proxy, monitoreo del tráfico y direcciones IP de usuarios activos, sus inicios de sesión, URL visitadas en tiempo real y mucho, mucho más. otro.

Bueno, ahora es el momento de hacer balance. Nosotros, queridos lectores, hemos analizado con cierto detalle el servidor proxy UserGate, con el que puede organizar el acceso compartido a Internet en cualquier oficina. Y estábamos convencidos de que este desarrollo combina simplicidad y facilidad de configuración y uso con un conjunto muy extenso de funcionalidades. Todo esto hace que la última versión de UserGate sea un producto muy atractivo.

Al conectarse a Internet en la oficina, todo jefe quiere saber por qué está pagando. Especialmente si la tarifa no es ilimitada, sino en función del tráfico. Hay varias formas de resolver los problemas de control del tráfico y organización del acceso a Internet a escala empresarial. Hablaré sobre implementar el servidor proxy UserGate para obtener estadísticas y controlar el ancho de banda del canal usando mi experiencia como ejemplo.

Diré de inmediato que utilicé el servicio UserGate (versión 4.2.0.3459), pero los métodos para organizar el acceso y las tecnologías utilizadas también se utilizan en otros servidores proxy. Por lo tanto, los pasos descritos aquí son generalmente adecuados para otras soluciones de software (por ejemplo, Kerio Winroute Firewall u otros servidores proxy), con pequeñas diferencias en los detalles de implementación de la interfaz de configuración.

Describiré la tarea que se me ha asignado: Hay una red de 20 máquinas, hay un módem ADSL en la misma subred (alternativamente 512/512 kbit/s). Es necesario limitar la velocidad máxima para los usuarios y realizar un seguimiento del tráfico. La tarea es un poco complicada por el hecho de que el proveedor cierra el acceso a la configuración del módem (el acceso solo es posible a través del terminal, pero la contraseña la tiene el proveedor). La página de estadísticas en el sitio web del proveedor no está disponible (no pregunte por qué, solo hay una respuesta: la empresa tiene esa relación con el proveedor).

Instalamos el usergate y lo activamos. Para organizar el acceso a la red usaremos NAT ( Traducción de Direcciones de Red- "Traducción de Direcciones de Red"). Para que la tecnología funcione, es necesario tener dos tarjetas de red en la máquina donde instalaremos el servidor (servicio) UserGate (Existe la posibilidad de que pueda hacer que NAT funcione en una tarjeta de red asignándole dos direcciones IP en diferentes subredes).

Entonces, etapa de configuración inicial: configuración del controlador NAT(controlador de UserGate, instalado durante la instalación principal del servicio). A nosotros Se requieren dos interfaces de red.(leer tarjetas de red) en el hardware del servidor ( Para mí esto no fue un problema, porque... Implementé UserGate en una máquina virtual. Y ahí puedes hacer “muchas” tarjetas de red.).

Idealmente, para El módem en sí está conectado a una tarjeta de red., A al segundo - toda la red, desde el que accederán a Internet. En mi caso, el módem está instalado en diferentes salas con el servidor (máquina física), y soy demasiado vago y no tengo tiempo para mover el equipo (y en un futuro próximo, se avecina organizar una sala de servidores). Conecté ambos adaptadores de red a la misma red (físicamente), pero los configuré para subredes diferentes. Como no pude cambiar la configuración del módem (el proveedor bloqueó el acceso), tuve que transferir todas las computadoras a otra subred (afortunadamente, esto se hace fácilmente usando DHCP).

Tarjeta de red conectada al módem ( Internet) configurado como antes (según los datos del proveedor).

• nombramos Dirección IP estática(en mi caso es 192.168.0.5);
• No cambié la máscara de subred 255.255.255.0, pero se puede configurar de tal manera que solo habrá dos dispositivos en la subred del servidor proxy y el módem;
• Puerta de enlace: dirección del módem 192.168.0.1
• Direcciones de los servidores DNS del proveedor ( principal y adicional requerido).

Segunda tarjeta de red, conectado a la red interna ( intranet), configurado de la siguiente manera:

• Estático Dirección IP, pero en una subred diferente(tengo 192.168.1.5);
• Máscara según su configuración de red (tengo 255.255.255.0);
• Puerta no indicamos.
• En el campo de dirección del servidor DNS ingrese la dirección del servidor DNS empresarial(si lo hay, si no, déjelo en blanco).

Nota: debe asegurarse de que el uso del componente NAT de UserGate esté seleccionado en la configuración de la interfaz de red.

Después de configurar las interfaces de red iniciar el servicio UserGate(no olvide configurarlo para que funcione como un servicio y se inicie automáticamente con derechos del sistema) y ir a la consola de administración(posiblemente localmente o remotamente). Vaya a "Reglas de red" y seleccione " Asistente de configuración NAT", deberás indicar tu intranet ( intranet) e Internet ( Internet) adaptadores. Intranet: un adaptador conectado a una red interna. El asistente configurará el controlador NAT.

Después Necesito entender las reglas NAT, para lo cual nos dirigimos a “Configuración de red” – “NAT”. Cada regla tiene varios campos y un estado (activa e inactiva). La esencia de los campos es simple:

• Título: el nombre de la regla, Recomiendo regalar algo significativo.(no es necesario escribir direcciones y puertos en este campo, esta información ya estará disponible en la lista de reglas);
• La interfaz del receptor es tuya interfaz intranet(en mi caso 192.168.1.5);
• La interfaz del remitente es tuya interfaz de internet(en la misma subred que el módem, en mi caso 192.168.0.5);
• Puerto— indicar a qué categoría se aplica esta regla ( por ejemplo, para el navegador (HTTP) el puerto 80 y para recibir correo, el puerto 110). Puede especificar un rango de puertos, si no quiere perder el tiempo, no se recomienda hacer esto para toda la gama de puertos.
• Protocolo: seleccione una de las opciones del menú desplegable: tcp(generalmente), UPD o ICMP(por ejemplo, para operar los comandos ping o tracert).

Inicialmente, la lista de reglas ya contiene las reglas más utilizadas necesarias para el funcionamiento del correo y varios tipos de programas. Pero completé la lista estándar con mis propias reglas: para ejecutar consultas DNS (sin usar la opción de reenvío en UserGate), para ejecutar conexiones seguras SSL, para ejecutar un cliente torrent, para ejecutar el programa Radmin, etc. Aquí hay capturas de pantalla de mi lista de reglas. La lista aún es pequeña, pero se va ampliando con el tiempo (con la aparición de la necesidad de trabajar en un nuevo puerto).

La siguiente etapa es la configuración de usuarios. En mi caso elegí autorización por dirección IP y dirección MAC. Hay opciones de autorización solo por dirección IP y credenciales de Active Directory. También puede utilizar la autorización HTTP (cada vez que los usuarios ingresan por primera vez una contraseña a través del navegador). Creamos usuarios y grupos de usuarios. Y asignarles las reglas NAT utilizadas(Necesitamos darle al usuario Internet en el navegador; le habilitamos la regla HTTP con el puerto 80, necesitamos darle ICQ, la regla ICQ con luego 5190).

Por último, en la etapa de implementación, configuré a los usuarios para que trabajaran a través de un proxy. Para esto utilicé el servicio DHCP. Las siguientes configuraciones se transfieren a las máquinas cliente:

• La dirección IP es dinámica desde DHCP en el rango de la subred de la intranet (en mi caso el rango es 192.168.1.30 -192.168.1.200. Configuré la reserva de direcciones IP para las máquinas requeridas).
• Máscara de subred (255.255.255.0)
• Puerta de enlace: dirección de la máquina con UserGate en la red local (dirección de intranet: 192.168.1.5)
• Servidores DNS: proporciono 3 direcciones. La primera es la dirección del servidor DNS empresarial, la segunda y la tercera son las direcciones DNS del proveedor. (El DNS empresarial está configurado para reenviar al DNS del proveedor, por lo que en caso de una "caída" del DNS local, los nombres de Internet se resolverán en el DNS del proveedor).

En este configuración básica completada. Izquierda comprobar la funcionalidad, para hacer esto, en la máquina cliente que necesita (recibiendo la configuración de DHCP o agregándola manualmente, de acuerdo con las recomendaciones anteriores) Inicie el navegador y abra cualquier página de Internet.. Si algo no funciona, vuelve a comprobar la situación:

• ¿Son correctas las configuraciones del adaptador de red del cliente? (¿La máquina con el servidor proxy hace ping?)
• ¿El usuario/computadora está autorizado en el servidor proxy? (ver métodos de autorización de UserGate)
• ¿El usuario/grupo tiene habilitadas las reglas NAT que son necesarias para la operación? (Para que el navegador funcione, necesita al menos reglas HTTP para el protocolo TCP en el puerto 80).
• ¿Se superan los límites de tráfico para el usuario o grupo? (No lo presenté yo mismo).

Ahora puede monitorear a los usuarios conectados y las reglas NAT que usan en el elemento "Monitoreo" de la consola de administración del servidor proxy.

Ya se están ajustando más configuraciones de proxy, a requisitos específicos. Lo primero que hice fue habilitar la limitación del ancho de banda en las propiedades del usuario (más adelante puede implementar un sistema de reglas para limitar la velocidad) y habilitar servicios adicionales de UserGate: un servidor proxy (HTTP en el puerto 8080, SOCKS5 en el puerto 1080). Habilitar los servicios de proxy le permite utilizar el almacenamiento en caché de solicitudes. Pero es necesario realizar una configuración adicional de los clientes para trabajar con el servidor proxy.

¿Alguna pregunta? Sugiero preguntarles aquí mismo.

________________________________________

Hoy en día, Internet no es sólo un medio de comunicación o una forma de pasar el tiempo libre, sino también una herramienta de trabajo. La búsqueda de información, la participación en licitaciones y el trabajo con clientes y socios requieren la presencia de los empleados de la empresa en Internet. La mayoría de las computadoras utilizadas tanto para fines personales como organizacionales ejecutan sistemas operativos Windows. Naturalmente, todos están equipados con mecanismos para proporcionar acceso a Internet. A partir de Windows 98 Segunda Edición, la Conexión compartida a Internet (ICS) se ha integrado en los sistemas operativos Windows como un componente estándar, que proporciona acceso grupal desde una red local a Internet. Más tarde, Windows 2000 Server introdujo el servicio de enrutamiento y acceso remoto y agregó soporte para el protocolo NAT.

Pero el ICS tiene sus inconvenientes. Entonces, esta función cambia la dirección del adaptador de red y esto puede causar problemas en la red local. Por lo tanto, ICS se utiliza preferentemente sólo en redes domésticas o de pequeñas oficinas. Este servicio no proporciona autorización de usuario, por lo que no es recomendable utilizarlo en una red corporativa. Si hablamos de aplicaciones en una red doméstica, aquí también la falta de autorización por nombre de usuario se vuelve inaceptable, ya que las direcciones IP y MAC son muy fáciles de falsificar. Por tanto, aunque en Windows es posible organizar el acceso unificado a Internet, en la práctica se utiliza hardware o software de desarrolladores independientes para implementar esta tarea. Una de esas soluciones es el programa UserGate.

Primera cita

El servidor proxy Usergate permite proporcionar acceso a Internet a los usuarios de la red local y definir políticas de acceso, negando el acceso a ciertos recursos, limitando el tráfico o el tiempo de trabajo de los usuarios en la red. Además, Usergate permite llevar registros de tráfico separados tanto por usuario como por protocolo, lo que facilita enormemente el control de los costes de conexión a Internet. Recientemente, ha habido una tendencia entre los proveedores de Internet a proporcionar acceso ilimitado a Internet a través de sus canales. En el contexto de esta tendencia, lo que pasa a primer plano es el control de acceso y la contabilidad. Para ello, el servidor proxy de Usergate tiene un sistema de reglas bastante flexible.

El servidor proxy Usergate con soporte NAT (traducción de direcciones de red) se ejecuta en sistemas operativos Windows 2000/2003/XP con el protocolo TCP/IP instalado. Sin soporte para el protocolo NAT, Usergate puede ejecutarse en Windows 95/98 y Windows NT 4.0. El programa en sí no requiere recursos especiales para su funcionamiento, la condición principal es la disponibilidad de suficiente espacio en disco para los archivos de registro y caché. Por lo tanto, todavía se recomienda instalar un servidor proxy en una máquina separada, dándole el máximo de recursos.

Ajustes

¿Para qué sirve un servidor proxy? Después de todo, cualquier navegador web (Netscape Navigator, Microsoft Internet Explorer, Opera) ya puede almacenar documentos en caché. Pero recuerde que, en primer lugar, no asignamos cantidades significativas de espacio en disco para estos fines. Y en segundo lugar, la probabilidad de que una persona visite las mismas páginas es mucho menor que si lo hicieran decenas o cientos de personas (y muchas organizaciones tienen esa cantidad de usuarios). Por lo tanto, crear un espacio de caché único para una organización reducirá el tráfico entrante y acelerará la búsqueda en Internet de documentos ya recibidos por uno de los empleados. El servidor proxy UserGate se puede conectar en una jerarquía con servidores proxy externos (proveedores), y en este caso será posible, si no reducir el tráfico, al menos acelerar la recepción de datos, así como reducir el costo. (normalmente el coste del tráfico de un proveedor a través de un servidor proxy es menor).

Pantalla 1: Configuración del caché

De cara al futuro diré que el caché se configura en la sección del menú “Servicios” (ver pantalla 1). Después de cambiar el caché al modo "Habilitado", puede configurar sus funciones individuales: almacenamiento en caché de solicitudes POST, objetos dinámicos, cookies y contenido recibido a través de FTP. Aquí puede configurar el tamaño del espacio en disco asignado para el caché y la vida útil del documento almacenado en caché. Y para que el caché comience a funcionar, debe configurar y habilitar el modo proxy. La configuración determina qué protocolos funcionarán a través del servidor proxy (HTTP, FTP, SOCKS), en qué interfaz de red se escucharán y si se realizará la conexión en cascada (los datos necesarios para esto se ingresan en una pestaña separada del servicio). ventana de configuración).

Antes de comenzar a trabajar con el programa, debe realizar otras configuraciones. Como regla general, esto se hace en la siguiente secuencia:

1. Creación de cuentas de usuario en Usergate.
2. Configurar DNS y NAT en un sistema con Usergate. En esta etapa, la configuración se reduce principalmente a configurar NAT usando el asistente.
3. Configurar una conexión de red en máquinas cliente, donde es necesario registrar la puerta de enlace y DNS en las propiedades de la conexión de red TCP/IP.
4. Creación de una política de acceso a Internet.

Para facilitar su uso, el programa está dividido en varios módulos. El módulo de servidor se ejecuta en una computadora conectada a Internet y realiza tareas básicas. La administración de Usergate se lleva a cabo mediante un módulo especial Usergate Administrator. Con su ayuda, toda la configuración del servidor se realiza de acuerdo con los requisitos necesarios. La parte cliente de Usergate se implementa en forma de Cliente de autenticación Usergate, que se instala en la computadora del usuario y sirve para autorizar a los usuarios en el servidor Usergate si se utiliza una autorización distinta de IP o IP + MAC.

Control

La gestión de usuarios y grupos se encuentra en una sección separada. Los grupos son necesarios para facilitar la gestión de los usuarios y su configuración general de acceso y facturación. Puedes crear tantos grupos como necesites. Normalmente, los grupos se crean según la estructura de la organización. ¿Qué parámetros se pueden asignar a un grupo de usuarios? Cada grupo tiene asociada una tarifa a la que se tendrán en cuenta los costes de acceso. La tarifa predeterminada se utiliza por defecto. Está vacío, por lo que las conexiones de todos los usuarios incluidos en el grupo no se cobran a menos que se anule la tarifa en el perfil del usuario.

El programa tiene un conjunto de reglas NAT predefinidas que no se pueden cambiar. Estas son reglas de acceso para los protocolos Telten, POP3, SMTP, HTTP, ICQ, etc.. Al configurar un grupo, puede especificar qué reglas se aplicarán a este grupo y a los usuarios incluidos en él.

El modo de marcación automática se puede utilizar cuando la conexión a Internet se realiza a través de un módem. Cuando este modo está habilitado, el usuario puede inicializar una conexión a Internet cuando aún no hay conexión; a petición suya, el módem establece una conexión y proporciona acceso. Pero cuando se conecta a través de una línea arrendada o ADSL, este modo no es necesario.

Agregar cuentas de usuario no es más difícil que agregar grupos (consulte la Figura 2). Y si la computadora con el servidor proxy Usergate instalado es parte de un dominio de Active Directory (AD), las cuentas de usuario se pueden importar desde allí y luego clasificarlas en grupos. Pero tanto al ingresar manualmente como al importar cuentas desde AD, es necesario configurar los derechos de usuario y las reglas de acceso. Estos incluyen el tipo de autorización, el plan de tarifas y las reglas NAT disponibles (si las reglas del grupo no satisfacen completamente las necesidades de un usuario en particular).

El servidor proxy Usergate admite varios tipos de autorización, incluida la autorización de usuario a través de Active Directory y la ventana de inicio de sesión de Windows, que permite integrar Usergate en una infraestructura de red existente. Usergate utiliza su propio controlador NAT que admite la autorización a través de un módulo especial: el módulo de autorización del cliente. Dependiendo del método de autorización elegido, en la configuración del perfil de usuario debe especificar su dirección IP (o rango de direcciones), o un nombre y contraseña, o simplemente un nombre. Aquí también se puede especificar la dirección de correo electrónico del usuario, a la que se enviarán informes sobre su uso del acceso a Internet.

Normas

El sistema de reglas de Usergate es más flexible en la configuración en comparación con las capacidades de la Política de acceso remoto (política de acceso remoto en RRAS). Usando reglas, puede bloquear el acceso a ciertas URL, limitar el tráfico usando ciertos protocolos, establecer un límite de tiempo, limitar el tamaño máximo de archivo que un usuario puede descargar y mucho más (consulte la Figura 3). Las herramientas estándar del sistema operativo no tienen la funcionalidad suficiente para resolver estos problemas.

Las reglas se crean usando el asistente. Se aplican a cuatro objetos principales monitoreados por el sistema: conexión, tráfico, tarifa y velocidad. Además, se puede realizar una acción para cada uno de ellos. La ejecución de reglas depende de las configuraciones y restricciones que se seleccionen para ello. Estos incluyen los protocolos utilizados, los horarios por día de la semana en los que esta regla estará vigente. Finalmente, se determinan criterios para el volumen de tráfico (entrante y saliente), el tiempo de permanencia en la red, el saldo de fondos en la cuenta del usuario, así como una lista de direcciones IP de la fuente de la solicitud y direcciones de red del recursos que son objeto de acción. Configurar direcciones de red también le permite determinar los tipos de archivos que los usuarios no podrán descargar.

Muchas organizaciones no permiten el uso de servicios de mensajería instantánea. ¿Cómo implementar tal prohibición usando Usergate? Basta con crear una regla que cierre la conexión al solicitar el sitio *login.icq.com* y aplicarla a todos los usuarios. La aplicación de las reglas le permite cambiar las tarifas de acceso diurno o nocturno, a recursos regionales o compartidos (si dichas diferencias las proporciona el proveedor). Por ejemplo, para cambiar entre tarifas diurnas y nocturnas, será necesario crear dos reglas, una realizará el cambio horario de la tarifa diurna a nocturna y la segunda volverá a cambiar. En realidad, ¿por qué son necesarios los aranceles? Ésta es la base del sistema de facturación integrado. Actualmente, este sistema sólo se puede utilizar para conciliación y cálculo de costos de prueba, pero una vez que se certifique el sistema de facturación, los propietarios del sistema tendrán un mecanismo confiable para trabajar con sus clientes.

Usuarios

Ahora volvamos a la configuración de DNS y NAT. La configuración de DNS implica especificar las direcciones de los servidores DNS externos a los que accederá el sistema. En este caso, en las computadoras de los usuarios, es necesario especificar la IP de la interfaz de red interna de la computadora con Usergate en la configuración de conexión para las propiedades TCP/IP como puerta de enlace y DNS. Un principio de configuración ligeramente diferente cuando se utiliza NAT. En este caso, debe agregar una nueva regla al sistema, que requiere definir la IP del receptor (interfaz local) y la IP del remitente (interfaz externa), el puerto 53 y el protocolo UDP. Esta regla debe asignarse a todos los usuarios. Y en la configuración de conexión de sus computadoras, debe especificar la dirección IP del servidor DNS del proveedor como DNS y la dirección IP de la computadora con Usergate como puerta de enlace.

La configuración de clientes de correo electrónico se puede realizar tanto a través del mapeo de puertos como a través de NAT. Si su organización permite el uso de servicios de mensajería instantánea, entonces se debe cambiar la configuración de conexión para ellos: debe especificar el uso de un firewall y un proxy, configurar la dirección IP de la interfaz de red interna de la computadora con Usergate y seleccionar HTTPS. o Protocolo de calcetines. Pero debes tener en cuenta que cuando trabajes a través de un servidor proxy, no podrás trabajar en salas de chat y video chat si estás utilizando Yahoo Messenger.

Las estadísticas de operación se registran en un registro que contiene información sobre los parámetros de conexión de todos los usuarios: tiempo de conexión, duración, fondos gastados, direcciones solicitadas, cantidad de información recibida y transmitida. No puede cancelar el registro de información sobre las conexiones de los usuarios en el archivo de estadísticas. Para ver las estadísticas en el sistema, existe un módulo especial al que se puede acceder tanto a través de la interfaz del administrador como de forma remota. Los datos se pueden filtrar por usuarios, protocolos y tiempo y se pueden guardar en un archivo Excel externo para su posterior procesamiento.

Que sigue

Si bien las primeras versiones del sistema estaban destinadas únicamente a implementar el mecanismo de almacenamiento en caché del servidor proxy, las últimas versiones tienen nuevos componentes diseñados para garantizar la seguridad de la información. Hoy en día, los usuarios de Usergate pueden utilizar el módulo antivirus y firewall integrado de Kaspersky. El firewall le permite controlar, abrir y bloquear ciertos puertos, así como publicar recursos web de la empresa en Internet. El firewall integrado procesa paquetes que no se procesan en el nivel de reglas NAT. Una vez que el controlador NAT ha procesado el paquete, el firewall ya no lo procesa. La configuración de puerto realizada para el proxy, así como los puertos especificados en Port Mapping, se colocan en reglas de firewall generadas automáticamente (tipo automático). Las reglas automáticas también incluyen el puerto TCP 2345, que utiliza el módulo Administrador de Usergate para conectarse al backend de Usergate.

Hablando de las perspectivas de un mayor desarrollo del producto, cabe mencionar la creación de su propio servidor VPN, que le permitirá abandonar la VPN del sistema operativo; implementación de un servidor de correo con soporte antispam y desarrollo de un firewall inteligente a nivel de aplicaciones.

Mijaíl Abramzón- Responsable del grupo de marketing de Digt.

Organizar el acceso compartido a Internet para los usuarios de la red local es una de las tareas más comunes a las que se enfrentan los administradores de sistemas. Sin embargo, todavía plantea muchas dificultades y preguntas. Por ejemplo, ¿cómo garantizar la máxima seguridad y una controlabilidad total?

Introducción

Hoy veremos en detalle cómo organizar el acceso compartido a Internet entre los empleados de una determinada empresa hipotética. Supongamos que su número oscilará entre 50 y 100 personas y que todos los servicios habituales para este tipo de sistemas de información están desplegados en la red local: dominio Windows, servidor de correo propio, servidor FTP.

Para proporcionar acceso compartido, utilizaremos una solución llamada UserGate Proxy & Firewall. Tiene varias características. En primer lugar, se trata de un desarrollo puramente ruso, a diferencia de muchos productos localizados. En segundo lugar, tiene más de diez años de historia. Pero lo más importante es el constante desarrollo del producto.

Las primeras versiones de esta solución eran servidores proxy relativamente simples que solo podían compartir una única conexión a Internet y mantener estadísticas sobre su uso. El más extendido entre ellos es el build 2.8, que todavía se puede encontrar en oficinas pequeñas. Los propios desarrolladores ya no llaman servidor proxy a la última sexta versión. Según ellos, se trata de una solución UTM completa que cubre una amplia gama de tareas relacionadas con la seguridad y el control de las acciones del usuario. Veamos si esto es cierto.

Implementación de proxy y firewall de UserGate

Durante la instalación, son de interés dos pasos (los pasos restantes son estándar para instalar cualquier software). El primero de ellos es la selección de componentes. Además de los archivos básicos, se nos pide que instalemos cuatro componentes más del servidor: una VPN, dos antivirus (Panda y Kaspersky Anti-Virus) y un navegador de caché.

El módulo del servidor VPN se instala según sea necesario, es decir, cuando la empresa planea utilizar el acceso remoto para los empleados o combinar varias redes remotas. Tiene sentido instalar antivirus sólo si se han adquirido las licencias adecuadas de la empresa. Su presencia le permitirá escanear el tráfico de Internet, localizar y bloquear malware directamente en la puerta de enlace. El navegador de caché le permitirá ver las páginas web almacenadas en caché por el servidor proxy.

Funciones adicionales

Prohibir sitios no deseados

La solución es compatible con la tecnología de filtrado de URL de Entensys. Básicamente, es una base de datos basada en la nube que contiene más de 500 millones de sitios web en diferentes idiomas, divididos en más de 70 categorías. Su principal diferencia es el seguimiento constante, durante el cual los proyectos web se monitorean constantemente y cuando el contenido cambia, se transfieren a otra categoría. Esto le permite bloquear todos los sitios no deseados con un alto grado de precisión, simplemente seleccionando ciertas categorías.

El uso del filtrado de URL de Entensys aumenta la seguridad del trabajo en Internet y también ayuda a aumentar la eficiencia de los empleados (al prohibir redes sociales, sitios de entretenimiento, etc.). Sin embargo, su uso requiere una suscripción paga, que debe renovarse cada año.

Además, la distribución incluye dos componentes más. La primera es la "Consola de administrador". Esta es una aplicación separada diseñada, como su nombre indica, para administrar el servidor UserGate Proxy & Firewall. Su característica principal es la posibilidad de conectarse de forma remota. Así, los administradores o responsables del uso de Internet no necesitan acceso directo al gateway de Internet.

El segundo componente adicional son las estadísticas web. En esencia, es un servidor web que permite mostrar estadísticas detalladas sobre el uso de la red global por parte de los empleados de la empresa. Por un lado, este es, sin duda, un componente útil y conveniente. Después de todo, le permite recibir datos sin instalar software adicional, incluso a través de Internet. Pero, por otro lado, consume recursos innecesarios del sistema de la puerta de enlace de Internet. Por lo tanto, es mejor instalarlo sólo cuando sea realmente necesario.

La segunda etapa a la que debes prestar atención durante la instalación de UserGate Proxy & Firewall es elegir una base de datos. En versiones anteriores, UGPF sólo podía funcionar con archivos MDB, lo que afectaba el rendimiento general del sistema. Ahora se puede elegir entre dos DBMS: Firebird y MySQL. Además, el primero está incluido en la distribución, por lo que a la hora de seleccionarlo no se requieren manipulaciones adicionales. Si desea utilizar MySQL, primero debe instalarlo y configurarlo. Una vez completada la instalación de los componentes del servidor, es necesario preparar estaciones de trabajo para los administradores y otros empleados responsables que puedan gestionar el acceso de los usuarios. Es muy fácil de hacer. Basta con instalar la consola de administración de la misma distribución en sus ordenadores de trabajo.

Funciones adicionales

Servidor VPN incorporado

La versión 6.0 introdujo el componente del servidor VPN. Con su ayuda, puede organizar el acceso remoto seguro de los empleados de la empresa a la red local o combinar redes remotas de sucursales individuales de la organización en un único espacio de información. Este servidor VPN tiene toda la funcionalidad necesaria para crear túneles de servidor a servidor y de cliente a servidor y enrutamiento entre subredes.

Configuración básica

Toda la configuración de UserGate Proxy & Firewall se realiza mediante la consola de administración. De forma predeterminada, después de la instalación, ya se crea una conexión con el servidor local. Sin embargo, si lo usa de forma remota, tendrá que crear la conexión manualmente especificando la dirección IP o el nombre de host de la puerta de enlace de Internet, el puerto de red (predeterminado 2345) y los parámetros de autorización.

Después de conectarse al servidor, primero debe configurar las interfaces de red. Esto se puede hacer en la pestaña "Interfaces" de la sección "UserGate Server". La tarjeta de red que "mira" a la red local está configurada en tipo LAN y todas las demás conexiones están configuradas en WAN. A las conexiones "temporales", como PPPoE, VPN, se les asigna automáticamente el tipo PPP.

Si una empresa tiene dos o más conexiones a la red global, siendo una de ellas principal y el resto de respaldo, entonces se puede configurar el respaldo automático. Esto es bastante fácil de hacer. Basta agregar las interfaces necesarias a la lista de reserva, especificar uno o más recursos de control y el tiempo para verificarlos. El principio de funcionamiento de este sistema es el siguiente. UserGate verifica automáticamente la disponibilidad de los sitios de control en un intervalo específico. Tan pronto como dejan de responder, el producto de forma independiente, sin intervención del administrador, cambia al canal de respaldo. Al mismo tiempo, continúa la verificación de la disponibilidad de los recursos de control a través de la interfaz principal. Y tan pronto como sea exitoso, el cambio se realiza automáticamente. Lo único a lo que debe prestar atención al configurar es a la elección de los recursos de control. Es mejor optar por varios sitios grandes, cuyo funcionamiento estable está prácticamente garantizado.

Funciones adicionales

Control de aplicaciones de red

UserGate Proxy & Firewall implementa una característica tan interesante como el control de aplicaciones de red. Su objetivo es evitar que cualquier software no autorizado acceda a Internet. Como parte de la configuración de control, se crean reglas que permiten o bloquean el funcionamiento en red de varios programas (con o sin consideraciones de versión). Pueden especificar direcciones IP específicas y puertos de destino, lo que le permite configurar de manera flexible el acceso al software, permitiéndole realizar solo ciertas acciones en Internet.

El control de aplicaciones le permite desarrollar una política corporativa clara sobre el uso de programas y prevenir parcialmente la propagación de malware.

Después de esto, puede proceder directamente a configurar servidores proxy. En total, la solución considerada implementa siete de ellos: para los protocolos HTTP (incluido HTTP), FTP, SOCKS, POP3, SMTP, SIP y H323. Esto es prácticamente todo lo que pueden necesitar los empleados de una empresa para trabajar en Internet. De forma predeterminada, solo el proxy HTTP está habilitado; todos los demás se pueden activar si es necesario.

Los servidores proxy en UserGate Proxy & Firewall pueden funcionar en dos modos: normal y transparente. En el primer caso hablamos de un proxy tradicional. El servidor recibe solicitudes de los usuarios y las reenvía a servidores externos y transmite las respuestas recibidas a los clientes. Esta es una solución tradicional, pero tiene sus propios inconvenientes. En particular, es necesario configurar cada programa que se utiliza para trabajar en Internet (navegador de Internet, cliente de correo electrónico, ICQ, etc.) en cada computadora de la red local. Por supuesto, esto supone mucho trabajo. Además, periódicamente, a medida que se instale nuevo software, se repetirá.

Al elegir el modo transparente, se utiliza un controlador NAT especial, que se incluye en el paquete de entrega de la solución en cuestión. Escucha en los puertos correspondientes (80 para HTTP, 21 para FTP, etc.), detecta las solicitudes que llegan a ellos y las pasa al servidor proxy, desde donde se envían. Esta solución tiene más éxito en el sentido de que ya no es necesaria la configuración del software en las máquinas cliente. Lo único que se requiere es especificar la dirección IP de la puerta de enlace de Internet como puerta de enlace principal en la conexión de red de todas las estaciones de trabajo.

El siguiente paso es configurar el reenvío de consultas DNS. Hay dos maneras de hacer esto. El más sencillo de ellos es habilitar el llamado reenvío DNS. Al usarlo, las solicitudes de DNS que llegan a la puerta de enlace de Internet desde los clientes se redirigen a los servidores especificados (puede usar un servidor DNS de la configuración de conexión de red o cualquier servidor DNS arbitrario).

La segunda opción es crear una regla NAT que recibirá solicitudes en el puerto 53 (estándar para DNS) y las reenviará a la red externa. Sin embargo, en este caso, deberá registrar manualmente los servidores DNS en la configuración de conexión de red en todas las computadoras o configurar el envío de solicitudes DNS a través de la puerta de enlace de Internet desde el servidor del controlador de dominio.

Gestión de usuarios

Después de completar la configuración básica, puede continuar trabajando con los usuarios. Debe comenzar creando grupos en los que posteriormente se combinarán las cuentas. ¿Para qué sirve? En primer lugar, para su posterior integración con Active Directory. Y en segundo lugar, puedes asignar reglas a grupos (hablaremos de ellas más adelante), controlando así el acceso de una gran cantidad de usuarios a la vez.

El siguiente paso es agregar usuarios al sistema. Puedes hacer esto de tres maneras diferentes. Por razones obvias ni siquiera nos planteamos el primero de ellos, la creación manual de cada cuenta. Esta opción sólo es adecuada para redes pequeñas con un número reducido de usuarios. El segundo método consiste en escanear la red corporativa con solicitudes ARP, durante el cual el propio sistema determina la lista de posibles cuentas. Sin embargo, elegimos la tercera opción, que es la más óptima en términos de simplicidad y facilidad de administración: la integración con Active Directory. Se realiza en base a grupos creados previamente. Primero debe completar los parámetros generales de integración: especificar el dominio, la dirección de su controlador, el nombre de usuario y la contraseña con los derechos de acceso necesarios, así como el intervalo de sincronización. Después de esto, a cada grupo creado en UserGate se le deben asignar uno o más grupos de Active Directory. De hecho, el montaje termina ahí. Después de guardar todos los parámetros, la sincronización se realizará automáticamente.

Los usuarios creados durante la autorización utilizarán de forma predeterminada la autorización NTLM, es decir, la autorización mediante inicio de sesión en el dominio. Esta es una opción muy conveniente, ya que las reglas y el sistema de contabilidad de tráfico funcionarán independientemente de en qué computadora esté sentado el usuario actualmente.

Sin embargo, para utilizar este método de autorización necesita un software adicional: un cliente especial. Este programa funciona en el nivel de Winsock y transmite los parámetros de autorización del usuario al portal de Internet. Su distribución está incluida en el paquete UserGate Proxy & Firewall. Puede instalar rápidamente el cliente en todas las estaciones de trabajo utilizando las políticas de grupo de Windows.

Por cierto, la autorización NTLM está lejos de ser el único método para autorizar a los empleados de una empresa a trabajar en Internet. Por ejemplo, si una organización practica una vinculación estricta de los trabajadores a las estaciones de trabajo, entonces se puede utilizar una dirección IP, una dirección MAC o una combinación de ambas para identificar a los usuarios. Utilizando los mismos métodos, puede organizar el acceso a una red global de varios servidores.

Control de usuario

Una de las ventajas importantes de UGPF son sus amplias capacidades de control de usuarios. Se implementan mediante un sistema de reglas de control de tráfico. El principio de su funcionamiento es muy sencillo. El administrador (u otra persona responsable) crea un conjunto de reglas, cada una de las cuales representa una o más condiciones desencadenantes y la acción que se realiza cuando ocurren. Estas reglas se asignan a usuarios individuales o a grupos completos de ellos y le permiten controlar automáticamente su trabajo en Internet. Hay cuatro acciones posibles en total. El primero es cerrar la conexión. Permite, por ejemplo, bloquear la descarga de determinados archivos, impedir la visita a sitios no deseados, etc. La segunda acción es cambiar la tarifa. Se utiliza en el sistema arancelario, que está integrado en el producto analizado (no lo consideramos, ya que no es particularmente relevante para las redes corporativas). La siguiente acción le permite desactivar el recuento del tráfico recibido dentro de esta conexión. En este caso, la información transmitida no se tiene en cuenta a la hora de calcular el consumo diario, semanal y mensual. Y finalmente, la última acción es limitar la velocidad al valor especificado. Es muy conveniente utilizarlo para evitar la obstrucción del canal al descargar archivos grandes y resolver otros problemas similares.

Hay muchas más condiciones en las normas de control de tráfico: unas diez. Algunos de ellos son relativamente simples, como el tamaño máximo de archivo. Esta regla se activará cuando los usuarios intenten descargar un archivo mayor que el tamaño especificado. Otras condiciones se basan en el tiempo. En particular, entre ellos podemos destacar el horario (activado por hora y días de la semana) y los días festivos (activado en días específicos).

Sin embargo, son de mayor interés los términos y condiciones asociados con los sitios y el contenido. En particular, se pueden utilizar para bloquear o configurar otras acciones sobre ciertos tipos de contenido (por ejemplo, video, audio, archivos ejecutables, texto, imágenes, etc.), proyectos web específicos o sus categorías completas (la tecnología de filtrado de URL de Entensys es utilizado para esto (ver barra lateral).

Cabe destacar que una regla puede contener varias condiciones a la vez. En este caso, el administrador puede especificar en qué caso se ejecutará: si se cumplen todas las condiciones o cualquiera de ellas. Esto permite crear una política muy flexible para el uso de Internet por parte de los empleados de la empresa, teniendo en cuenta una gran cantidad de matices diferentes.

Configurar un cortafuegos

Una parte integral del controlador NAT UserGate es un firewall que ayuda a resolver varios problemas relacionados con el procesamiento del tráfico de la red. Para la configuración se utilizan reglas especiales, que pueden ser de tres tipos: traducción de direcciones de red, enrutamiento y firewall. Puede haber un número arbitrario de reglas en el sistema. En este caso, se aplican en el orden en que aparecen en la lista general. Por tanto, si el tráfico entrante coincide con varias reglas, será procesado por la que esté situada por encima de las demás.

Cada regla se caracteriza por tres parámetros principales. La primera es la fuente de tráfico. Puede ser uno o más hosts específicos, la interfaz WAN o LAN de la puerta de enlace de Internet. El segundo parámetro es el propósito de la información. Aquí se puede especificar la interfaz LAN o WAN o la conexión de acceso telefónico. La última característica principal de una regla es a uno o más servicios a los que se aplica. En UserGate Proxy & Firewall, un servicio se entiende como un par de una familia de protocolos (TCP, UDP, ICMP, protocolo arbitrario) y un puerto de red (o rango de puertos de red). De forma predeterminada, el sistema ya tiene un impresionante conjunto de servicios preinstalados, que van desde los comunes (HTTP, HTTPs, DNS, ICQ) hasta los específicos (WebMoney, RAdmin, varios juegos en línea, etc.). Sin embargo, si es necesario, el administrador puede crear sus propios servicios, por ejemplo, aquellos que describen cómo trabajar con la banca en línea.

Cada regla también tiene una acción que realiza con el tráfico que coincide con las condiciones. Solo hay dos: permitir o prohibir. En el primer caso, el tráfico fluye libremente por la ruta especificada, mientras que en el segundo está bloqueado.

Las reglas de traducción de direcciones de red utilizan tecnología NAT. Con su ayuda, puede configurar el acceso a Internet para estaciones de trabajo con direcciones locales. Para hacer esto, necesita crear una regla, especificando la interfaz LAN como origen y la interfaz WAN como destino. Las reglas de enrutamiento se aplican si la solución en cuestión se utilizará como enrutador entre dos redes locales (implementa esta característica). En este caso, el enrutamiento se puede configurar para transportar el tráfico de forma bidireccional y transparente.

Las reglas de firewall se utilizan para procesar el tráfico que no va al servidor proxy, sino directamente a la puerta de enlace de Internet. Inmediatamente después de la instalación, el sistema tiene una regla que permite todos los paquetes de red. En principio, si la puerta de enlace de Internet que se está creando no se utilizará como estación de trabajo, entonces la acción de la regla se puede cambiar de "Permitir" a "Denegar". En este caso, se bloqueará cualquier actividad de red en la computadora, excepto los paquetes NAT de tránsito transmitidos desde la red local a Internet y viceversa.

Las reglas del firewall le permiten publicar cualquier servicio local en la red global: servidores web, servidores FTP, servidores de correo, etc. Al mismo tiempo, los usuarios remotos tienen la oportunidad de conectarse a ellos a través de Internet. Como ejemplo, considere publicar un servidor FTP corporativo. Para hacer esto, el administrador debe crear una regla en la que seleccione "Cualquiera" como origen, especifique la interfaz WAN deseada como destino y FTP como servicio. Después de esto, seleccione la acción "Permitir", habilite la transmisión de tráfico y en el campo "Dirección de destino" especifique la dirección IP del servidor FTP local y su puerto de red.

Después de esta configuración, todas las conexiones a las tarjetas de red del gateway de Internet a través del puerto 21 serán redirigidas automáticamente al servidor FTP. Por cierto, durante el proceso de configuración puedes seleccionar no sólo el "nativo", sino también cualquier otro servicio (o crear el tuyo propio). En este caso, los usuarios externos tendrán que contactar con un puerto diferente al 21. Este enfoque es muy conveniente en los casos en que el sistema de información tiene dos o más servicios del mismo tipo. Por ejemplo, puede organizar el acceso externo al portal corporativo a través del puerto HTTP estándar 80 y el acceso a las estadísticas web de UserGate a través del puerto 81.

El acceso externo al servidor de correo interno se configura de manera similar.

Una característica distintiva importante del firewall implementado es el sistema de prevención de intrusiones. Funciona de forma totalmente automática, identifica intentos no autorizados basándose en firmas y métodos heurísticos y los neutraliza bloqueando flujos de tráfico no deseados o restableciendo conexiones peligrosas.

resumámoslo

En esta revisión, examinamos con cierto detalle la organización del acceso compartido de los empleados de la empresa a Internet. En las condiciones modernas, este no es el proceso más fácil, ya que es necesario tener en cuenta una gran cantidad de matices diferentes. Además, son importantes tanto los aspectos técnicos como organizativos, especialmente el control de las acciones de los usuarios.