Стратегии Internet Контроль за использованием Internet дает максимум производительности при минимуме потерь
Помните, как несколько лет назад менеджеры сетей устраивали охоту на компьютерные игры, отнимавшие так много рабочего времени у служащих их компаний? Наконец они избавились от этих игр - и вслед за этим предоставили сотрудникам доступ в Internet. Прогресс ли это?
Отключение доступа к DNS
Контроль за ведущей в Сеть магистралью стал серьезнейшей проблемой корпоративного мира. В конце концов Internet представляет собой гораздо большую, чем Solitaire, угрозу производительности служащих и, несомненно, гораздо сильнее их затягивает.
К счастью, на этой магистрали можно установить светофоры, которые позволят регулировать движение. Немногие из имеющихся методов абсолютно надежны, но большинство из них со своей задачей справляются, даже если приходится иметь дело с самыми изобретательными пользователями. В конце концов, кто оплачивает счета за использование Internet, тот и устанавливает правила доступа в эту сеть.
Любые шаги по контролю за доступом в Internet должны быть согласованы с корпоративными правилами работы в этой сети, известными всем служащим. Конечно, пользователи могут пренебречь ими, но одно лишь уведомление об их нарушении способно удержать многих от повторения такого шага. Как только четкие правила выработаны, открываются несколько возможных направлений дальнейшей деятельности. Можно:
- воспользоваться программами контроля за доступом в Internet;
- регистрировать использование Internet;
- ограничить доступ к системе доменных имен DNS;
- осуществлять фильтрацию приложений для Internet;
- наконец, не обращать никакого внимания на нарушение этих правил.
Быть уверенным, что Internet используется для деловых целей, а не для пустого развлечения служащих, вы можете, лишь создав “экспортный” брандмауэр (outbound firewall), позволяющий контролировать доступ сотрудников в Internet. Это своего рода инверсия обычного, или “импортного” (inbound) брандмауэра, который не допускает проникновения в вашу сеть посторонних пользователей.
Создание брандмауэра доступа в Internet представляет собой очень серьезную административную проблему, весьма сходную с той, что возникает при попытке бороться с нарушениями правил пользования телефонной связью. Вы можете запрограммировать работу телефонного коммутатора с выходом в общую сеть таким образом, что звонки по определенным номерам или на определенные коммутаторы будут блокироваться. Вы можете также разрешить доступ на междугородные и международные линии лишь с нескольких телефонных аппаратов. Но все это не очень подходит для Internet.
Создать список адресов, явно не имеющих деловой направленности, нетрудно - в него можно смело включать узел http://www.playboy.com, тематическую конференцию alt.sex.fetish и им подобные. Но постоянно вести этот перечень, равно как и определять, какие адреса неприемлемы для вашей организации, - это задача по силам разве что Геркулесу.
Многие пакеты контроля доступа в Internet рассчитаны на родителей. Например, такие продукты, как SurfWatch фирмы SurfWatch Software, iScreen фирмы NewView и NetNanny корпорации Trove Investment, имеют своей целью не допустить детей к узлам “Всемирной паутины”, тематическим конференциям или разговорным зонам, связанным с сексом, обнаженной натурой, насилием и другой предосудительной тематикой.
Корпоративные программы контроля за доступом в Internet наряду с блокированием доступа к тем же самым, явно не относящимся к бизнесу, узлам должны также предотвращать выход в Internet с определенных IP-адресов или в заданное время суток. Кроме того, им требуется мощный инструментарий, обеспечивающий работу не со считанными единицами, а сотнями пользователей.
Корпоративные сторожевые псы
Существует несколько корпоративных программ контроля за доступом в Internet, и все они используют списки узлов, соответствующих заранее заданным критериям “предосудительного содержания”.
Блокирование запросов на участие в предосудительных тематических конференциях
Менеджер может использовать перечень, полученный вместе с ПО (в некоторых пакетах он содержит более 20 тыс. адресов), добавлять в него другие адреса и получать из сети периодически обновляемые перечни. У менеджера есть возможность самому определить узел, который будет включен в предустановленный список запретов.
Большинство других пакетов контроля за доступом в Internet построены примерно по тому же принципу. WebTrack фирмы Webster Network Strategies (Нейплс, шт. Флорида) для Unix-систем, CyberSentry корпорации Microsystems Software (Фреймингхем, шт. Массачусетс) для среды Windows и Snag компании Chase Sales Development (Питтсбург, шт. Пенсильвания) - все они используют собственные версии контрольного списка узлов Internet и дают сетевым администраторам возможность управлять доступом на любом уровне вплоть до индивидуального пользователя.
Так, CyberSentry ограничивает доступ в Internet с любой системы под управлением Windows или Windows 95, в которой применяется совместимая с Winsock программа просмотра серверов, такая, как Navigator корпорации Netscape Communications, Explorer корпорации Microsoft или Mosaic. Это ПО обеспечивает фильтрацию попыток доступа в Internet и к приложениям, сопоставляя их с имеющимися списками пользователей и узлов.
CyberSentry регистрирует универсальные указатели ресурса URL, доступ к которым запрашивали пользователи, а также IP-адреса хост-компьютеров, с которых эти запросы поступали. Все эти указатели поступают на сервер с установленным CyberSentry, который сравнивает их с перечнем запрещенных узлов. Одновременно производится регистрация новых, ранее не встречавшихся URL.
Блокирование запросов
Сетевые администраторы могут провести конфигурирование CyberSentry таким образом, что это ПО будет блокировать обращения ко всем неизвестным IP-адресам или разрешать доступ только к тем узлам, которые занесены в перечень разрешенных.
Подобно пакетам WebTrack и Snag, CyberSentry может быть подстроен под конкретных пользователей: включение в перечень VIP снимает все виды контроля за доступом, тогда как работу остальных можно ограничить определенным временем суток или определенными узлами. Некоторым пользователям доступ в Internet может быть закрыт полностью.
Эта программа ведет перечень CyberNOT и журнал регистрации доступа, к которым обращается при обработке всех запросов на доступ в Internet. Журнал регистрации, кроме того, дает сетевому администратору возможность определить, с какими узлами работают пользователи, и затем решить, связана ли хранящаяся там информация с деятельностью компании. Если нет, он может включить эти адреса в перечень CyberNOT или открыть доступ к ним лишь конкретным пользователям.
Эта программа также позволяет сетевым менеджерам устанавливать рабочее и нерабочее время, а также прекращать контроль за доступом в Internet по вечерам и выходным дням.
Главный журнал
Пакеты контроля за доступом в Internet отнюдь не удешевляют работу в этой сети, требуя дополнительных расходов на ПО и его обслуживание. Их нельзя назвать полностью неуязвимыми, а чтобы заделать все трещины в дамбе, необходим штатный специалист.
Более простая тактика заключается в контроле за использованием Internet посредством регистрации всех попыток получить доступ в нее. Наиболее вероятно, что ваши пользователи входят в Сеть через один и тот же шлюз, поэтому журнал регистрации лучше всего вести на нем или на сервере представителей.
В этот журнал заносятся URL и IP-адреса компьютеров (или имена хост-компьютеров), пользователи которых обращались к ним. Может также регистрироваться дата и время начала работы и продолжительность сеанса связи с узлом.
К сожалению, анализ работы требует ручного труда и проводится пост-фактум. Кому-то, обычно администратору сети, приходится тщательно обрабатывать все записи, определять, что соответствует служебной необходимости, а что нет, а затем принимать какие-то меры воздействия.
Этот процесс может превратиться в тяжкое административное бремя, однако он эффективно препятствует нарушению правил работы с Internet. Если пользователи будут знать о том, что такой учет ведется, то скорее всего обуздают свое желание выйти за рамки дозволенного. Вам лишь изредка придется знакомиться с материалами регистрации.
Турникет DNS
Каждый раз, когда вводится универсальный указатель ресурса, в дело вступает система доменных имен DNS, превращая сетевые имена в IP-адреса.
Для контроля за доступом в Internet достаточно отказаться от автоматического обращения к DNS через вашего сервис-провайдера Internet и направить запрос в локальный файл HOSTS. В нем хранится ваш собственный “список разрешенного доступа”, содержащий имена и IP-адреса хост-компьютеров. Это контроль за доступом в Internet по принципу “сделай сам”.
В организациях, где требуется жестко контролировать работу в Internet, отказ от услуг DNS прост, недорог и эффективен. И все же эта по сути своей драконовская мера может создать проблем больше, чем способна разрешить.
Она не только создает огромный объем работы для сетевого администратора, но и способна превратить его в заклятого врага активных пользователей Internet. На практике такой подход применим лишь там, где действует принцип “запрещено все, что не разрешено”.
Для отключения DNS необходимо внести изменения в TCP/IP-конфигурацию на рабочих местах - еще один довод в пользу того, чтобы приложения и конфигурацию рабочих станций загружать с сетевого сервера файлов. Удалите IP-адрес сервера DNS из Windows Configuration; теперь компьютер по умолчанию будет обращаться к локальному файлу HOSTS.
Но учтите: если пользователь знает IP-адрес узла, ему не потребуется преобразование URL или имени хост-компьютера, он вполне обойдется без DNS.
Ограничение работы с приложениями
Долгие годы Internet вполне успешно обходилась без “Всемирной паутины”. Если доступ в Сеть создает для вас проблемы, можно настроить хост-компьютер представителя или брандмауэр таким образом, чтобы они ограничивали доступ пользователей только к электронной почте Internet (SMTP) или к некоторым приложениям, таким, как SMTP или Telnet. Если же главным источником нарушений правил работы с Internet является “Всемирная паутина”, а чаще всего так и бывает, просто отключите HTTP и FTP.
Слежение за использованием Internet с помощью сервера-представителя
Фильтр приложений представляет собой настраиваемую опцию, которая имеется в большинстве коммерческих программных брандмауэров, таких, как Firewall-1 фирмы Checkpoint Software, Raptor фирмы Raptor Systems и CyberGuard фирмы Harris Computer Systems. Брандмауэры (хост-компьютеры защиты, выступающие в роли хост-компьютеров-представителей исходящих запросов), способные задержать, допустим, поступающие FTP-запросы, могут таким же образом провести и фильтрацию исходящих.
Хост-компьютер-представитель может также взять на себя функции фильтра исходящих приложений. “Умный” сервер-представитель перехватывает все исходящие транзакции и проверяет их легитимность. Если представитель настроен только на работу с электронной почтой, он будет прерывать все HTTP-запросы, исключая тем самым возможность доступа в WWW. Пользователи смогут загрузить Netscape Navigator, но ни эта программа просмотра серверов Web, ни программа чтения тематических конференций функционировать не смогут.
В то же время интегрированный почтовый клиент пакета Navigator будет работать по-прежнему, если на вашем представителе установлен POP3-сервер.
Получив доступ лишь к электронной почте, ваши пользователи будут в состоянии переписываться с любым абонентом Internet и получать сообщения тематических конференций. И конечно же, они смогут принимать и распространять порнографические изображения, трактаты о поклонении дьяволу и результаты футбольных матчей в виде приложений к письмам. Однако бродить целыми днями по “Всемирной паутине” им уже не удастся, хотя это вовсе не помешает ежедневно тратить часы на просмотр объемистых файлов электронной почты.
Если вы решите ограничить доступ только к электронной почте, вам не удастся контролировать содержание писем, не посягнув на личную жизнь и свободу слова. Вам не дано права проверять содержимое электронной почты, но вы имеете право устанавливать обоснованные правила допустимого и приемлемого поведения на рабочем месте.
Например, вы можете заявить, что установленную в офисе аппаратуру нельзя использовать для обмена сообщениями, размещения объявлений, хранения изображений или другой информации, носящей незаконный, порнографический, сексуальный и дискриминационный характер, а также для других целей, кроме тех, которые прямо связаны с деятельностью организации.
Черед конечного пользователя
При попытке контролировать доступ в Internet вашим злейшим врагом станет опытный пользователь. Даже небольшие познания в области Internet открывают перед ним серьезные возможности. Может быть, даже чересчур серьезные, когда дело касается вашей схемы контроля за доступом.
Даже если вы перекроете доступ на скоростную магистраль, ведущую от вашей компании к Internet, всегда найдется сотрудник, который сможет обойти все преграды с помощью быстрого модема, телефонной линии и собственного абонемента Internet (а какой фанат Сети еще не обзавелся у сервис-провайдера неограниченным абонементом стоимостью $19,95 в месяц?).В этом случае единственным барьером может стать правило вашей компании: “Никакого Web-серфинга”.
Но у вас есть еще одна, последняя возможность: абсолютно ничего не предпринимать. Разработайте корпоративные правила работы в Internet, но не следите за выходом сотрудников в Сеть. Нарушения будут, но они не стоят тех денег и трудов, которых потребует контроль за доступом в Internet. Может быть, правы были “Биттлз”, спев “let it be” (“пусть будет, что будет”).
Уильям Датчер
НИ ШАГУ ДАЛЬШЕ!
“Умный” сервер-представитель, конфигурацией которого предусмотрено обслуживание только электронной почты, будет перехватывать все исходящие транзакции и оставлять без ответа все запросы на доступ во “Всемирную паутину”
СЛУЖЕБНАЯ ЗАПИСКА
Часто для предупреждения неправильного использования Internet достаточно довести до пользователей принятую в компании практику работы в этой сети
Похоже, что вы пытались подключиться к запретному узлу “Всемирной паутины”. Ваша попытка зарегистрирована. Если это будет повторяться в дальнейшем, вы можете навсегда лишиться возможности работать в Internet
