Курсы повышения квалификации «АДМИНИСТРИРОВАНИЕ СИСТЕМЫ» Лекция 20. Установка и настройка прокси-сервера Как ограничить доступ к интернет ресурсам? Для реализации данной задачи необходимо на ваш ПК установить программу прокси-сервера, в IP-адресах основного шлюза контролируемых ПК записать IP-адрес вашего ПК. Затем на контролируемых ПК запретить изменение сетевого протокола. Что такое прокси-сервер? Из многочисленных значений английского слова proxy в данном контексте применимы такие: "доверенное лицо", "полномочный представитель". В компьютерах прокси — это программа, которая передает запросы ваших программ (браузеров и других) в интернет, получает ответы и передает их обратно. Виды прокси Маршрутизатор, меняющий адреса, уже является прокси (его называют NATproxy, NAT - network address translation). NAT-proxy — самый простой вид прокси. Он входит в состав Windows XP, "Общий доступ к подключению интернета" и включается галочкой в свойствах сетевого соединения, как рассматривалось выше. Этот прокси работает прозрачно для пользователя, никаких специальных настроек в программах не требуется. Специализированные прокси (для каждого протокола интернета свой вид прокси) имеют ряд преимуществ и с точки зрения администраторов, и с точки зрения пользователей. Ниже перечислены виды специализированных прокси. HTTP-прокси — самый распространенный. Он предназначен для организации работы браузеров и других программ, использующих протокол HTTP. Браузер передает прокси-серверу URL ресурса, прокси-сервер получает его с запрашиваемого веб-сервера (или с другого прокси-сервера) и отдает браузеру. У HTTP-прокси широкие возможности при выполнении запросов: Можно сохранять полученные файлы на диске сервера. Впоследствии, если запрашиваемый файл уже скачивался, то можно выдать его с диска без обращения в интернет — увеличивается скорость и экономится внешний трафик (который может быть платным). Эта опция называется кэшированием — именно её очень Курсы повышения квалификации «АДМИНИСТРИРОВАНИЕ СИСТЕМЫ» любят администраторы и пользователи — настолько, что считают её главной функцией прокси. Можно ограничивать доступ к ресурсам. Например, завести "черный список" сайтов, на которые прокси не будет пускать пользователей (или определенную часть пользователей, или в определенное время и т.д.). Ограничения можно реализовать по-разному. Можно просто не выдавать ресурс — например, выдавая вместо него страницу "запрещено администратором" или "не найдено". Можно спрашивать пароль и авторизованных пользователей допускать к просмотру. Можно, не спрашивая пароля, принимать решение на основании адреса или имени компьютера пользователя. Можно выдавать не тот ресурс, который запрашивается браузером. Например, вместо рекламных баннеров и счетчиков показывать пользователям прозрачные картинки, не нарушающие дизайн сайта, но существенно экономящие время и трафик за счет исключения загрузки картинок извне. Можно ограничивать скорость работы для отдельных пользователей, групп или ресурсов. Например, установить правило, чтобы файлы *.mp3 качались на скорости не более 1Кб/сек, чтобы предотвратить забивание вашего интернетканала трафиком меломанов, но не лишать их полностью этого удовольствия. Эта возможность, к сожалению, есть не во всех прокси. Ведутся журналы работы прокси — можно подсчитывать трафик за заданный период, по заданному пользователю, выяснять популярность тех или иных ресурсов. Можно маршрутизировать веб-запросы — например, часть направлять напрямую, часть через другие прокси (прокси провайдера, спутниковые прокси). Это тоже помогает эффективнее управлять стоимостью трафика и скоростью работы прокси в целом. Мы перечислили основные, но не все возможности HTTP-proxy. Но уже одних перечисленных достаточно, чтобы убедиться, что без HTTP-proxy в серьезной сети не обойтись. FTP-прокси бывает двух основных видов в зависимости от протокола работы самого прокси. С ftp-серверами этот прокси, конечно, всегда работает по протоколу FTP. А вот с клиентскими программами — браузерами и ftp-клиентами прокси может рабо- Курсы повышения квалификации «АДМИНИСТРИРОВАНИЕ СИСТЕМЫ» тать как по FTP, так и по HTTP. Второй способ удобнее для браузеров, так как исторически является для них "родным". Браузер запрашивает ресурс у прокси, указывая протокол целевого сервера в URL — http или ftp. В зависимости от этого прокси выбирает протокол работы с целевым сервером, а протокол работы с браузером не меняется — HTTP. Поэтому, как правило, функцию работы с FTP-серверами также вставляют в HTTP-прокси, то есть HTTP-прокси, описанный выше, обычно с одинаковым успехом работает как с HTTP, так и с FTP-серверами. HTTPS-прокси — фактически часть HTTP-прокси. S в названии означает "secure", то есть безопасный. Не смотря на то, что программно это часть HTTP-прокси, обычно HTTPS выделяют в отдельную категорию (и есть отдельное поле для него в настройке браузеров). Обычно этот протокол — безопасный HTTP — применяют, когда требуется передача секретной информации, например, номеров кредитных карт. При использовании обычного HTTP-прокси всю передаваемую информацию можно перехватить средствами самого прокси (то есть это под силу администратору ЛС) или на более низком уровне, например, tcpdump (то есть и администратор провайдера и любого промежуточного узла и вообще любой человек, имеющий физический доступ к маршрутам передачи ваших данных по сети, может при большом желании узнать ваши секреты). Поэтому в таких случаях применяют secure HTTP — всё передаваемое при этом шифруется. Прокси-серверу при этом дается только команда "соединится с таким-то сервером", и после соединения прокси передает в обе стороны шифрованный трафик, не имея возможности узнать подробности (соответственно и многие средства управления доступом — такие как фильтрация картинок — не могут быть реализованы для HTTPS, так как прокси в этом случае неизвестно, что именно передается). Собственно в процессе шифрации/дешифрации прокси тоже участия не принимает — это делают клиентская программа и целевой сервер. Наличие команды "соединиться с таким-то сервером" в HTTPS-прокси приводит к интересному и полезному побочному эффекту, которым все чаще пользуются разработчики клиентских программ. Так как после соединения с указанным сервером HTTPS-прокси лишь пассивно передает данные в обе стороны, не производя никакой обработки этого потока вплоть до отключения клиента или сервера, это позволяет использовать прокси для передачи почти любого TCP-протокола, а не только HTTP. То есть HTTPS-прокси одновременно является и простым POP3-прокси, SMTP-прокси, IMAP-прокси, NNTP-прокси и т.д. — при условии, что соответствующая Курсы повышения квалификации «АДМИНИСТРИРОВАНИЕ СИСТЕМЫ» клиентская программа умеет так эксплуатировать HTTPS-прокси (есть вспомогательные программы, "заворачивающие" трафик обычных клиентов через HTTPS-прокси). Никаких модификаций целевого сервера не требуется. Mapping-прокси — способ заставить работать через прокси те программы, которые умеют работать с интернетом только напрямую. При настройке такого прокси администратор создает как бы "копию" целевого сервера, но доступную через один из портов прокси-сервера для всех клиентов локальной сети — устанавливает локальное "отображение" заданного сервера. Например, пользователи локальной сети хотят работать с почтовым сервером mail.ru не через браузер, а с использованием почтовой программы Outlook Express. Эти программы не умеют работать через прокси (кроме случая, когда Outlook получает почту по HTTP с hotmail.com — тогда он, как и браузер, пользуется HTTP-прокси). Простейший способ работать с mail.ru по POP3 через прокси — установить локальное отображение сервера pop.mail.ru. И в Outlook вместо pop.mail.ru написать имя прокси-сервера и порт отображения. Outlook будет соединяться с проксисервером, а прокси при этом будет соединяться с pop.mail.ru и прозрачно передавать всю информацию между Outlook и pop.mail.ru, таким образом "превращаясь" на время соединения в POP3-сервер. Неудобство mapping-прокси в том, что для каждого необходимого внешнего сервера нужно вручную устанавливать отдельный порт на прокси. Но зато не требуется модификация ни серверов, ни клиентов. Squid – это высокопроизводительный кеширующий прокси для web-клиентов, поддерживающий ftp, gopher, и http. В отличие от традиционных кеширующих программ, Squid все запросы выполняет как один, неблокируемый процесс ввода/вывода. Squid сохраняет часто запрашиваемые данные в ОЗУ, кеширует DNS запросы, не блокируется при выполнении DNS запросов, и не кеширует неудавшиеся запросы. Используя Internet Cache Protocol (ICP), кеши Squid можно расположить иерархически для дополнительного выигрыша в пропускной способности канала. Squid состоит из - основной программы squid, программы обработки DNS запросов dnsserver, программы скачивания ftp данных ftpget, а также некоторых инструментов управления. Когда squid запускается, он запускает заданное число DNS-серверов, каждый из которых работает самостоятельно, блокируя только DNS запросы. Таким образом, уменьшается общее время ожидания ответа DNS. Курсы повышения квалификации «АДМИНИСТРИРОВАНИЕ СИСТЕМЫ» В качестве примера рассмотрим программу прокси-сервера SmallProxy. SmallProxy - Это HTTP, HTTPS, Socks4, Socks5, PortMapping (Virtual Port) прокси-сервер для дома и офиса, распределяет трафик между пользователями в локальной сети, экономит трафик и ускоряет работу в Интернете, вырезает рекламу, счётчики и нежелательные сайты, ведёт подробную статистику работы пользователей в интернете. SmallProxy - Это HTTP, HTTPS, Socks4, Socks5, PortMapping (Virtual Port) проксисервер для дома и офиса, распределяет трафик между пользователями в локальной сети, экономит трафик и ускоряет работу в Интернете, вырезает рекламу, счётчики и нежелательные сайты, ведёт подробную статистику работы пользователей в интернете. Курсы повышения квалификации «АДМИНИСТРИРОВАНИЕ СИСТЕМЫ» Рис. 14.1. Внешний вид программы SmallProxy SmallProxyServer предназначен для раздачи интернета в офисе, на предприятии, в домашней и локальной сети. Использование прокси-сервера позволяет полностью контролировать работу пользователей в интернете, а так же учитывать статистику посещений, управлять доступом к ресурсам, защищать сеть от атак вирусов. Основные возможности SmallProxy: Загрузка при запуске компьютера сервисом; HTTP модуль может работать как через каскадный прокси сервер, так и напрямую; Пользователей можно организовывать в группы (например по отделам); Выбирать разрешённые порты для пользователей и их групп; Авторизовать по имени и паролю, либо по IP и MAC адресу; Сохранять трафик пользователя на диск для всех протоколов; Заблокированные ссылки могут отображаться на загруженных страничках с помощью надписи - SmallProxy Blocked либо быть скрытыми от пользователей; SmallProxy ведёт расширенную статистику своей работы, что позволяет наглядно оценить эффективность работы оптимизирующих алгоритмов и текущей настройки программы; SmallProxy открывает порты только на нужных интерфейсах, что защищает компьютер от нежелательных последствий (хакеров); Удаляет из запроса к серверу некоторые теги протокола; Фильтрация адресов по спискам доступа; Поддержка метода CONNECT - тунеллирование поверх HTTP протокола; Встроенный ВебСервер для отображения статистики пользователям. Рис. 14.2. Дерево настроек программы Small Proxy Добавление пользователей и групп Курсы повышения квалификации «АДМИНИСТРИРОВАНИЕ СИСТЕМЫ» Для удобства пользователей можно группировать в группы. Для добавление новой записи необходимо нажать красный крестик "+" и в появившемся окне ввести название (имя) нового пользователя или группы, а так же выбрать тип - пользователь или группа, новая запись будет вставлена в текущую позицию курсора, если вы вставляете пользователя, то текущий пользователь будет использован как шаблон. Переименование пользователей и групп Режим переименования включается после краткого клика по имени в дереве левой кнопкой мышки. Перенос пользователей и групп Перенос пользователей и групп производится правой кнопкой мышки с помощью перетаскивания внутри дерева. Удаление пользователей и групп Пользователь удаляется кнопкой с красным крестиком. Группа удаляется красным крестиком, только если она пустая. Общие настройки для портов и пользователей 1. Шейпер - ограничитель или резалка скорости пользователей и их групп - является двунаправленным, как для скачки (DownLoad), так и для закачки (UpLoad); 2. Ограничитель трафика - лимитирует потребление пользователем интернета; Курсы повышения квалификации «АДМИНИСТРИРОВАНИЕ СИСТЕМЫ» 3. Ограничитель доступа к порту по времени суток для групп и пользователей если вам надоели ночные загрузки фильмов - то эта функция для Вас: По этому списку можно определить, у кого из пользователей есть ошибки, например - закончился лимит по трафику или времени, отключён порт или пользователь просто выключен. Эту функцию можно использовать для автоматического добавления пользователей, например при первичной инсталляции SmallProxy: Автоматически добавлять пользователей по IP - у пользователя определяется IP и он добавляется в список пользователей. Автоматически разрешать работу - пользователю разрешается работать. По MAC адресу рекомендуется добавлять пользователей, если у вас IP адреса раздаются. Список фильтров, поддерживаемые прокси сервером: 1. 2. 3. 4. 5. 6. Блокировать по маске Блокировать по URL Блокировать по размеру картинки Разрешённые URL Локальные URL Блокировать по MIME Курсы повышения квалификации «АДМИНИСТРИРОВАНИЕ СИСТЕМЫ» 7. Исключения из фильтров 8. Проверка URL фильтрами Фильтры можно организовывать в тематические списки, например - баннеры, счётчики, мессенджеры. Статистика работы пользователей в интернете состоит из двух частей: 1. Детальная статистика с указанием адресов посещений, объёмов и другой информации; 2. Суммарная статистика за месяц с разбивкой на пользователей, групп и использованных портов - как бы ежемесячный отчёт. SmallProxy - Настройка фильтров SmallProxy позволяет использовать следующие типы фильтров: 1. Блокировать по маске - блокирует запросы браузера, если в их тексте содержатся подстроки, имеющиеся в списке исключений. 2. Блокировать по URL - блокирует запросы браузера, если в их текст полностью совпадает с текстом запроса браузера. o Количество адресов в списке. 3. Блокировать по размеру картинки - производит анализ размеров картинок формата GIF и BMP, и если их размеры соответствуют указанным размерам, то картинка не загружается, а её адрес автоматически добавляется в список исключений. 4. Разрешённые URL - Ограничивает доступ только к разрешённым ресурсам, все остальные - блокируются. 5. Локальные URL - Список локальных сайтов, для которых не ведётся статистика. 6. Блокировать по MIME - позволяет эффективно фильтровать нежелательные типы файлов - картинки, музыку и так далее. 7. Исключения из фильтров - на адреса указанные в этом списке блокировки по MIME, размерам картинок, блокировки по маске и полному совпадению действовать не будут. Добавление нового фильтра Курсы повышения квалификации «АДМИНИСТРИРОВАНИЕ СИСТЕМЫ» добавление нового фильтра производится нажатием на кнопку "+". Переименование фильтра Имена фильтров можно переименовывать, для этого необходимо по имени фильтра щёлкнуть левой кнопкой мыши, ввести новое имя и нажать клавишу Enter. Перенос фильтров Записи в таблицах можно переносить между фильтрами совместимых типов, например между MIME фильтрами. Проверка URL фильтрами Проверить URL с помощью фильтров можно с помощью диалога, при этом используются фильтры по маске и по полному совпадению. Фильтры в портах Чтобы фильтры на запрещение работали, необходимо, чтобы их использование не было отключено на уровне порта. Курсы повышения квалификации «АДМИНИСТРИРОВАНИЕ СИСТЕМЫ» Внимание: можно настроить исключения из списка фильтрации ссылка; проверить работу данного фильтра можно с помощью ссылки. С точки зрения SmallProxy адрес состоит из 2 частей - имени хоста и параметра. http://www.ind.ru/count/counter.php?var=temp, здесь www.ind.ru - имя хоста, /count/counter.php?var=temp – параметр. С таким адресом фильтры отработают следующим образом: 1. по HOST - будет производиться поиск только в имени хоста (имя хоста содержит только точки). 2. по полному соответствию (фильтр по полному соответствию) - будет производиться поиск с первого символа полного адреса, т.е. с http://, (обязательно начинается с http://). Курсы повышения квалификации «АДМИНИСТРИРОВАНИЕ СИСТЕМЫ» Внимание: можно настроить исключения из списка фильтрации ссылка; проверить работу данного фильтра можно с помощью ссылки; адреса отфильтрованные фильтром по размерам картинок, автоматически добавляются в этот фильтр; адреса отфильтрованные фильтром по MIME, автоматически добавляются в этот фильтр; адреса добавляемые в этот фильтр в ручную должны обязательно начинаться с http:// иначе они добавятся в фильтр по маске. В этот список попадают адреса отфильтрованные фильтром картинок. Если Вы видите закономерность в названии, то можно добавить свой фильтр, при этом новый фильтр либо будет добавлен в этот список (если он будет начинаться на http://) либо в список блокируемых адресов по маске. Количество записей в этом списке ограничено, задаётся в этом диалоговом окне. Когда количество записей становится больше заданного, самая старая запись удаляется. Список каскадных прокси-серверов Необходимо выбрать прокси, через который будет подключён SmallProxy к Интернету (в данном случае - InGate). Редактор каскадного прокси-сервера Курсы повышения квалификации «АДМИНИСТРИРОВАНИЕ СИСТЕМЫ» Если Вы работаете через удалённые прокси-сервера, то их необходимо указать в этом редакторе. Если на удалённом прокси-сервере требуется авторизация, то можно указать в соответствующих полях имя пользователя и пароль, тогда авторизация будет проходить автоматически. В настройках HTTP порта надо указать следующее: Для сброса каскадного прокси надо нажать на кнопочку с крестиком рядом с каскадным прокси. Если один из Ваших сайтов почему-то блокируется фильтрами, то этот фильтр можно найти с помощью этой функции: вводим тестируемую строку, нажимаем кнопку - "Искать фильтр": Курсы повышения квалификации «АДМИНИСТРИРОВАНИЕ СИСТЕМЫ» и находим фильтр, который режет данный сайт, затем этот фильтр можно удалить, либо добавить тестируемую строку в качестве нового фильтра. Порядок осуществления настройки за контролем доступа в сеть с помощью проксисервера: 1. Устанавливаем программу прокси-сервера на компьютер, проверяем IP-адрес с помощью утилиты TCP/IP ipconfig/all (рис. 14). Рис. 14. Просмотр IP-адреса в командной строке 2. Полученный IP-адрес прописываем на компьютере, доступ которого в сеть мы хотим контролировать. При этом у контролируемого ПК должен быть прописан собственный IP-адрес. Открываем свойства сетевого соединения (рис. 15), выбираем протокол TCP/IP и вводим IP-адреса (рис. 16). Курсы повышения квалификации «АДМИНИСТРИРОВАНИЕ СИСТЕМЫ» Рис. 15. Свойства подключения по локальной сети Рис. 16. Ввод IP-адресов для контролируемого ПК 3. На ПК, имеющим выход в интернет, создаем учетную запись пользователя, прописываем IP-адрес, для этого необходимо открыть Настройки > Пользователи (рис. 17). Работа в интернете будет разрешена в случае установки соответствующей галочки в диалоговом окне Редактора групп и пользователей. Курсы повышения квалификации «АДМИНИСТРИРОВАНИЕ СИСТЕМЫ» Рис. 17. Создание записи пользователя 4. Начинаем вводить ограничения, заходим в Настройки > Ограничение скорости для сайтов, вводим адрес сайта с помощью кнопки +, вводим ограничение скорости, например 1024 Байт (рис. 18). Рис. 18. Редактор ограничителя скорости сайтов Курсы повышения квалификации «АДМИНИСТРИРОВАНИЕ СИСТЕМЫ» Запретим доступ, например, на сайт Одноклассники, необходимо зайти в Настройки > Редактор блокируемых адресов, ввести адрес (рис. 19). Рис. 19. Запрет доступа на сайт Запретим открытие картинок определенного размера, например 120х120. Нажимаем на + в верхней панели и вводим требуемый размер (рис. 20). Рис. 20. Блокировка открытия картинок определенного размера Курсы повышения квалификации «АДМИНИСТРИРОВАНИЕ СИСТЕМЫ» Программа прокси-сервера позволяет вести подробную статистику по скаченному объему информации, доступу к сайтам (рис. 21). Рис. 21. Просмотр статистики использования сети 5. Для того чтобы пользователь, за которым устанавливается контроль, не мог самостоятельно изменить параметры сетевого подключения, а именно IP-адреса, необходимо запретить доступ к свойствам подключения по локальной сети с помощью групповой политики (см. выпуск 4 Администрирование системы). Настройки прокси-сервера закончены, доступ в сеть под надежной защитой.