Размещено на http://www.allbest.ru/

Размещено на http://www.allbest.ru/

КОМИТЕТ ОБРАЗОВАНИЯ И НАУКИ ВОЛГОГРАДСКОЙ ОБЛАСТИ

ГОСУДАРСТВЕННОЕ БЮДЖЕТНОЕ ПРОФЕССИОНАЛЬНОЕ ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ «КОТОВСКИЙ ПРОМЫШЛЕННО-ЭКОНОМИЧЕСКИЙ ТЕХНИКУМ»

(ГБПОУ «КОТОВСКИЙ ПРОМЫШЛЕННО-ЭКОНОМИЧЕСКИЙ ТЕХНИКУМ»)

Специальность 230111 «Компьютерные сети» в рамках укрупненной группы направлений подготовки и специальностей 230000 «Информатика и вычислительная техника»

ДИПЛОМНАЯ РАБОТА

Внедрение в локальную вычислительную сеть образовательной организации кэширующего прокси-сервера с антивирусной защитой

Выполнил студент

Д.А.Матюшенко

Руководитель работы преподаватель

А.С..Пятаченко

Котово 2017



Реферат

Работа 72 с., 3 ч., 8 рис., 3 табл., 20 источников.

ПРОКСИ-СЕРВЕР SQUID, LOIC, КОНТЕНТ-ФИЛЬТР DANSGUARDIAN OPENSOLARIS, АНТИВИРУСНАЯ ПРОГРАММА CLAMAV.

Объектом исследования является внедрение кэширующего прокси-сервера в образовательное учреждение МБОУ СШ №5.

Цель работы - внедрение в локальную вычислительную сеть образовательной организации кэширующего прокси-сервера с использованием операционной системы контент-фильтра DansGuardian, и антивирусного средства ClamAV.

В процессе работы был произведен анализ программного обеспечения образовательного учреждения МБОУ СШ №5 и настроен прокси-сервер с использованием контент-фильтра DansGuardian.



Содержание

Введение

1. Проблемы информационной безопасности образовательной организации

1.1 Обзор угроз

1.2 Виды DoS-атак

1.3 Организация фильтрования контента в образовательном учреждении

1.3.1 Варианты фильтрации контента

1.3.2 Принципы контентной фильтрации

2. Теоретическое обоснование предметной области

2.1 Что такое прокси-сервер

2.2 Применение прокси-серверов

2.3 Виды прокси-серверов

2.4 HandyCache

2.5 Возможности программы HandyCache

2.5.1 Условия использования

2.6 Squid

2.6.1 Описание архитектуры

2.6.2 Редиректоры Squid

2.6.3 Ограничение максимальной скорости соединения

2.6.4 Обратное кэширование

2.6.5 Режим прозрачного прокси-сервера

3. Внедрение в локальную вычислительную сеть образовательной организации кэширующего прокси-сервера Squid с антивирусной защитой ClamAV и фильтром Dansguardian

3.1 Информация об объекте внедрения

3.2 Аппаратное и программное обеспечение компьютерной сети организации

3.3 Внедрение прокси-сервера Squid с антивирусом ClanAV и фильтром Dasnguardian

3.3.1 Настройка Squid

3.3.2 Раздача Интернета в локальную сеть (ICS: Internet Connection Sharing)

3.4 Настройка роутера (NAT с DHCP и Squid)

3.5 Настраиваем кэширующий прокси-сервер Squid

3.6 DansGuardian. Настраиваем контент-фильтр роутера

3.7 Дополняем контент-фильтр роутера антивирусом ClamAV

3.7.1 Взаимодействие DansGuardian с антивирусом ClamAV

3.7.2 Дополняем DansGuardian приложением HAVP

Заключение

Список использованной литературы



Введение

Современные интеллектуальные обучающие системы являются Web-ориентированными и предусматривают для своих пользователей возможность работы с различными видами локальных и удаленных образовательных ресурсов. Проблема безопасного использования информационных ресурсов (ИР), размещенных в сети Интернет, постоянно приобретает все большую актуальность . Одним из методов, используемых при решении данной проблемы, является ограничение доступа к нежелательным информационным ресурсам.

Операторы, предоставляющие доступ в Интернет образовательным учреждениям, обязаны обеспечить ограничение доступа к нежелательным ИР. Ограничение осуществляется путем фильтрации операторами по спискам, регулярно обновляемым в установленном порядке. Однако, учитывая назначение и пользовательскую аудиторию образовательных сетей, целесообразно использовать более гибкую систему, которая позволит динамически распознавать нежелательные ресурсы и ограждать от них пользователей.

В целом доступ к нежелательным ресурсам несет следующие угрозы: пропаганду противоправных и асоциальных действий, таких как: политический экстремизм, терроризм, наркомания, распространение порнографии и других материалов; отвлечение учащихся от использования компьютерных сетей в образовательных целях; затруднение доступа в Интернет из-за перегрузки внешних каналов, имеющих ограниченную пропускную способность. Перечисленные выше ресурсы часто используются для внедрения вредоносных программ с сопутствующими им угрозами .

Существующие системы ограничения доступа к сетевым ресурсам имеют возможность проверять на соответствие заданным ограничениям не только отдельные пакеты, но и их содержимое - контент, передаваемый через сеть. В настоящее время в системах контентной фильтрации применяются следующие методы фильтрации web-контента: по имени DNS или конкретному IP-адресу, по ключевым словам внутри web-контента и по типу файла. Чтобы блокировать доступ к определенному web-узлу или группе узлов, необходимо задать множество URL, контент которых является нежелательным. URL-фильтрация обеспечивает тщательный контроль безопасности сети. Однако нельзя предугадать заранее все возможные неприемлемые URL-адреса. Кроме того, некоторые web-узлы с сомнительным информационным наполнением работают не с URL, а исключительно с IP-адресами.

Один из путей решения задачи состоит в фильтрации контента, получаемого по протоколу HTTP. Недостатком существующих систем контентной фильтрации является использование списков разграничения доступа, формируемых статически. Для их наполнения разработчики коммерческих систем контентной фильтрации нанимают сотрудников, которые делят контент на категории и составляют рейтинг записей в базе данных.

Указанная проблема и ее большая практическая значимость, заключенная в достижении высоких требованиях к безопасности определили тему исследования: «Внедрение в локальную вычислительную сеть образовательной организации кэширующего прокси-сервера с антивирусной защитой»

Цель исследования: проанализировать проблемы фильтрации безопасного контента в компьютерной сети образовательной организации с дополнительной антивирусной защитой.

Гипотеза: Возможность выбора и настройки прокси-сервера для выполнения фильтрации нежелательного контента в образовательной организации.

Объект исследования: компьютерная сеть образовательной организации.

Предмет исследования: проблемы информационной безопасности образовательной организации.

Задачи:

1. Проблемы информационной безопасности образовательной организации.

2. Теоретическое обоснование предметной области.

3. Внедрение в локальную вычислительную сеть образовательной организации кэширующего прокси-сервера с антивирусной защитой.

Теоретическая значимость: Освоение и систематизация учебного и информационного материала по данной теме.

Практическая значимость: Приобретение практических навыков в анализе проблем информационной безопасности в компьютерной сети образовательной организации.

Методы исследования: Изучение и анализ теоретического материала, интернет - источников.



1. Проблемы информационной безопасности образовательной организации

В настоящее время существует огромное количество угроз, которым может подвергнуться компьютер.

1.1 Обзор угроз

Черви (Worms). - это категория вредоносных программ для распространения использует в основном уязвимости операционных систем. Название этого класса было дано исходя из способности червей «переползать" с компьютера на компьютер, используя сети, электронную почту и другие информационные каналы. Также благодаря этому многие черви обладают достаточно высокой скоростью распространения.

Черви проникают на компьютер, вычисляют сетевые адреса других компьютеров и рассылают по этим адресам свои копии. Помимо сетевых адресов часто используются данные адресной книги почтовых клиентов. Представители этого класса вредоносных программ иногда создают рабочие файлы на дисках системы, но могут вообще не обращаться к ресурсам компьютера (за исключением оперативной памяти). Недавний Wanna Cry - пример именно сетевого червя-вымогателя.

Вирусы (Viruses) - это программы, которые заражают другие программы - добавляют в них свой код, чтобы получить управление при запуске зараженных файлов. Это простое определение дает возможность выявить основное действие, выполняемое вирусом - заражение.

Троянские программы (Trojans) - это программы, которые выполняют на поражаемых компьютерах несанкционированные пользователем действия, т.е. в зависимости от каких-либо условий уничтожают информацию на дисках, приводят систему к "зависанию", воруют конфиденциальную информацию и т.д.

Данный класс вредоносных программ не является вирусом в традиционном понимании этого термина (т.е. не заражает другие программы или данные); троянские программы не способны самостоятельно проникать на компьютеры и распространяются злоумышленниками под видом "полезного" программного обеспечения. При этом вред, наносимый ими, может во много раз превышать потери от традиционной вирусной атаки.

В последнее время наиболее распространенными типами вредоносных программ, портящими компьютерные данные, стали черви. Далее по распространенности следуют вирусы и троянские программы. Некоторые вредоносные программы совмещают в себе характеристики двух или даже трех из перечисленных выше классов.

Программы-рекламы (Adware) это программный код, без ведома пользователя включенный в программное обеспечение с целью демонстрации рекламных объявлений. Как правило, программы-рекламы встроены в программное обеспечение, распространяющееся бесплатно. Реклама располагается в рабочем интерфейсе. Зачастую данные программы также собирают и переправляют своему разработчику персональную информацию о пользователе, изменяют различные параметры браузера (стартовые и поисковые страницы, уровни безопасности и т.д.), а также создают неконтролируемый пользователем трафик. Все это может привести как к нарушению политики безопасности, так и к прямым финансовым потерям.

Программы-шпионы (Spyware) - это программное обеспечение, позволяющее собирать сведения об отдельно взятом пользователе или организации без их ведома. О наличии программ-шпионов на своем компьютере вы можете и не догадываться. Как правило, целью программ-шпионов является:

– отслеживание действий пользователя на компьютере;

– сбор информации о содержании жесткого диска; в этом случает чаще всего речь идет о сканировании некоторых каталогов и системного реестра с целью составления списка программного обеспечения, установленного на компьютере;

- сбор информации о качестве связи, способе подключения, скорости модема и т.д.

Потенциально опасные приложения (Riskware) - это программное обеспечение, которое не имеет какой-либо вредоносной функции, но может быть использовано злоумышленниками в качестве вспомогательных компонентов вредоносной программы, поскольку содержит бреши и ошибки. При некоторых условиях наличие таких программ на компьютере подвергает ваши данные риску. К таким программам относятся, например, некоторые утилиты удаленного администрирования, программы автоматического переключения раскладки клавиатуры, IRC-клиенты, FTP-сервера, всевозможные утилиты для остановки процессов или скрытия их работы.

Еще одним видом вредоносных программ, являющимся пограничным для таких программ как Adware, Spyware и Riskware, являются программы, встраивающиеся в установленный на компьютере браузер и перенаправляющие трафик. Наверняка вы встречались с подобными программами, если при запросе одного адреса веб-сайта открывался совсем другой.

Программы-шутки (Jokes) - это программное обеспечение, не причиняющее компьютеру какого-либо прямого вреда, но выводящее сообщения о том, что такой вред уже причинен, либо будет причинен при каких-либо условиях. Такие программы часто предупреждают пользователя о несуществующей опасности, например, выводят сообщения о форматировании диска, обнаруживают вирусы в незараженных файлах и т.д.

Программы-маскировщики (Rootkit) - это утилиты, используемые для сокрытия вредоносной активности. Они маскируют вредоносные программы, чтобы избежать их обнаружения антивирусными программами. Программы-маскировщики модифицируют операционную систему на компьютере и заменять основные ее функции, чтобы скрыть свое собственное присутствие и действия, которые предпринимает злоумышленник на зараженном компьютере.

Опасные угрозы компьютерной сети это программы, созданные для организации DoS-атак на удаленные сервера, взлома других компьютеров, а также являющиеся частью среды разработки вредоносного программного обеспечения. К таким программам относятся хакерские утилиты (Hack Tools), конструкторы вирусов, сканеры уязвимостей, программы для взлома паролей, прочие виды программ для взлома сетевых ресурсов или проникновения в атакуемую систему.

DoS-атака - атака на вычислительную систему с целью довести её до отказа, то есть создание таких условий, при которых легальные (правомерные) пользователи системы не могут получить доступ к предоставляемым системой ресурсам (серверам), либо этот доступ затруднён. Отказ «вражеской» системы может быть и шагом к овладению системой. Но чаще это мера экономического давления: простои службы, приносящей доход, счета от провайдера и меры по уходу от атаки ощутимо бьют «цель» по карману.

Если атака выполняется одновременно с большого числа компьютеров, говорят о DDoS-атаке. В некоторых случаях к фактической DDoS-атаке приводит непреднамеренное действие, например, размещение на популярном Интернет-ресурсе ссылки на сайт, размещённый на не очень производительном сервере. Большой наплыв пользователей приводит к превышению допустимой нагрузки на сервер и, следовательно, отказу в обслуживании части из них.

1.2 Виды DoS-атак

Существуют различные причины, из-за которых может возникнуть DoS-условие:

- Ошибка в программном коде, приводящая к обращению к неиспользуемому фрагменту адресного пространства, выполнению недопустимой инструкции или другой необрабатываемой исключительной ситуации, когда происходит аварийное завершение программы-сервера -- серверной программы.

- Недостаточная проверка данных пользователя, приводящая к бесконечному либо длительному циклу или повышенному длительному потреблению процессорных ресурсов либо выделению большого объёма оперативной памяти.

- Флуд - атака, связанная с большим количеством обычно бессмысленных или сформированных в неправильном формате запросов к компьютерной системе или сетевому оборудованию, имеющая своей целью или приведшая к отказу в работе системы из-за исчерпания системных ресурсов -- процессора, памяти или каналов связи.

- Атака второго рода -- атака, которая стремится вызвать ложное срабатывание системы защиты и таким образом привести к недоступности ресурса.

Если атака (обычно флуд) производится одновременно с большого количества IP-адресов -- с нескольких рассредоточенных в сети компьютеров -- то в этом случае она называется распределённой атакой на отказ в обслуживании (DDoS).

Основными источниками вирусов являются:

- Флоппи-диск, лазерный диск, флэш-карта или любой другой съемный носитель информации, на котором находятся зараженные вирусом файлы;

- Жесткий диск, на который попал вирус в результате работы с зараженными программами;

- Любая компьютерная сеть, в том числе локальная сеть;

- Системы электронной почты и обмена сообщениями;

- Глобальная сеть Интернет;

Виды компьютерных угроз:

- Кибервандализм. Распространение вредоносного ПО с целью повреждения данных пользователя и вывода компьютера из строя.

- Мошенничество. Распространение вредоносного ПО для получения незаконных доходов. Большинство программ используемых с этой целью позволяют злоумышленникам собирать конфиденциальную информацию и использовать ее для кражи денег у пользователей.

- Хакерские атаки. Взлом отдельных компьютеров или целых компьютерных сетей с целью кражи конфиденциальных данных или установки вредоносных программ.

- Фишинг. Создание подложных сайтов, которые являются точной копией существующих с целью кражи конфиденциальных данных при их посещении пользователями.

- Спам. Анонимные массовые рассылки электронной почты, которые засоряют электронные ящики пользователей. Как правило, используются для рекламы товаров и услуг, а так же фишинговых атак.

- Рекламное программное обеспечение. Распространение вредоносного ПО, запускающего рекламу на вашем компьютере или перенаправляющего поисковые запросы на платные веб-сайты. Нередко бывает встроено в бесплатные или условно-бесплатные программы и устанавливается на компьютер пользователя без его ведома.

- Ботнеты. Зомби-сети, состоящие из зараженных с помощью троянца компьютеров, управляемых одним хозяином и используемых для его целей.

Под угрозой безопасности понимается возможная опасность совершения какого - либо деяния, направленного против объекта защиты, наносящего ущерб собственнику или пользователю, проявляющегося в опасности искажения, раскрытия или потери информации.

Одним из самых популярных инструментов DDoS являются различные модификации программы LOIC. LOIC (акроним от англ. Low Orbit Ion Cannon -- рус. Низкоорбитальное ионное орудие) -- программа с открытым исходным кодом, предназначенная для осуществления DoS-атак, написанная на языке программирования C#. Первоначально разработана Praetox Technologies, но позже была распространена, как общественное достояние.

Программа выполняет распределённую атаку вида «отказ в обслуживании» путём постоянных передач на нужный веб сайт или узел TCP-, UDP-пакетов или HTTP-запросов с целью появления сбоев в работе целевого узла.

Существует также редакция программы LOIC Hive Mind, способная автоматически получать задания на атаку через IRC, RSS или Twitter, что позволяет централизованно запускать DoS-атаки с использованием вычислителей добровольцев

- программа выполняет распределённую атаку вида «отказ в обслуживании» путём постоянных передач на нужный веб сайт или узел TCP-, UDP-пакетов или HTTP-запросов с целью появления сбоев в работе целевого узла.

- Существует также редакция программы LOIC Hive Mind, способная автоматически получать задания на атаку через IRC, RSS или Twitter, что позволяет централизованно запускать DoS-атаки с использованием вычислителей добровольцев.

Реализация той или иной угрозы безопасности может преследовать следующие цели:

- нарушение конфиденциальности информации. Информация, хранимая и обрабатываемая в компьютерной сети организации (КСО), может иметь большую ценность для ее владельца. Ее использование другими лицами наносит значительный ущерб интересам владельца;

- нарушение целостности информации. Потеря целостности информации - угроза близкая к ее раскрытию. Ценная информация может быть утрачена или обесценена путем ее несанкционированного удаления или модификации. Ущерб от таких действий может быть много больше, чем при нарушении конфиденциальности;

- нарушение работоспособности КСО. Вывод из строя или некорректное изменение режимов работы компонентов КСО, их модификация или подмена могут привести к получению неверных результатов, отказу КСО от потока информации или отказам при обслуживании. Отказ от потока информации означает непризнание одной из взаимодействующих сторон факта передачи или приема сообщений. Имея в виду, что такие сообщения могут содержать важные донесения, заказы, финансовые согласования и т.п., ущерб в этом случае может быть весьма значительным.

Поэтому обеспечение информационной безопасности компьютерных систем и сетей является одним из ведущих направлений развития информационных технологий.

Компьютерные сети организации (КСО) относятся к распределенным компьютерным системам, осуществляющим автоматизированную обработку информации. Проблема обеспечения информационной безопасности является центральной для таких компьютерных систем. Обеспечение безопасности КСО предполагает организацию противодействия любому несанкционированному вторжению в процесс функционирования КСО, а также попыткам модификации, хищения, вывода из строя или разрушения ее компонентов, то есть защиту всех компонентов КСО - аппаратных средств, программного обеспечения, данных и персонала.

1.3 Организация фильтрования контента в образовательном учреждении

Интернет - это огромный кладезь самой разной информации, которую можно и нужно использовать для обучения и саморазвития. Поэтому наравне с библиотеками, в которых на полках хранятся увесистые тома разнообразной литературы и периодические издания, учащиеся активно используют для поиска ответов на вопросы интернет.

Такой контент можно разделить на две группы: запрещенный для любого возраста и нежелательный для детей и подростков. К первой группе относятся, например, детская порнография, ресурсы террористов, сайты, разжигающие расовую неприязнь, и т.п. Наличие во внутренней сети учебного заведения подобной информации может не только вызвать претензии учителя к ученикам, скачивающим запрещенный контент на рабочую станцию, но и привести к уголовному преследованию администрации, которая допускает ее хранение в школьной сети.

Ко второй группе, кроме уже упомянутых ресурсов, относятся сайты, которые учащиеся не должны посещать по возрастным ограничениям: жестокие игры, онлайновые казино, порнографические сайты, сайты, пропагандирующие насилие, сайты сексуальных меньшинств, сайты интим-услуг и интим-магазинов и т.п.

Также нежелательным может являться также контент, отвлекающий школьников от учебного процесса. Дети могут вместо выполнения учебных заданий в Сети просматривать разрешенные, но не имеющие ничего общего с учебным процессом материалы.

Еще одна проблема -- это рассылка учениками по почте или размещение в Сети запрещенного контента (пиратского ПО, порнографии и т.п.). Все эти действия могут осуществляться подростками из сети образовательного учреждения при отсутствии надлежащего контроля.

И последняя проблема -- это выполнение учениками ресурсоемких процедур: скачивание видеофильмов, музыки, файловых архивов, программного обеспечения, которые ведут к резкому увеличению трафика, что замедляет работу сети и увеличивает расходы на трафик.

В борьбе с нежелательным контентом применяются организационные меры (назначение ответственных лиц, режим доступа в компьютерный класс, доведение до сведения учащихся норм поведения в Сети, ответственность за противоправные действия и т.п.) и технические (фильтрация трафика, мониторинг действий учащихся).

Наличие мониторинга (даже без фильтрации) уже может стать эффективным методом защиты от проникновения в учебную сеть нежелательного контента. Если ученик будет знать, что за всеми его посещениями ведется постоянный мониторинг и все его действия записываются в log-файлах с указанием того, когда и что он посещал, то вряд ли ему захочется посещать нежелательные сайты.

1.3.1 Варианты фильтрации контента

Контент может фильтроваться на трех уровнях: провайдера, шлюза в Интернет защищаемой сети и клиентской станции, а также в Сети на уровне онлайновых сообществ. Например, форумы и чаты часто имеют модераторов, которые могут редактировать или удалять материал, нарушающий законы государства и правила того или иного сообщества. Однако большинство USENET-групп являются немодерируемыми.

В Сети существуют различные сервисы, предоставляющие безопасный учебный контент.

1.3.2 Принципы контентной фильтрации

Фильтрация контента может осуществляться по принципу «запрещено все, кроме того, что разрешено»(белый список) или «разрешено все, кроме того, что запрещено»(черный список).

Элементарная фильтрация может быть основана на применении локальной программы. Например, можно запретить в браузере доступ к определенным сайтам, однако перечислить все нежелательные сайты невозможно. Для этого требуется огромная база данных, которая должна постоянно обновляться. Для полноценной реализации данного вида фильтрации необходимо проиндексировать миллиарды web-страниц, а это под силу только крупным провайдерам подобного сервиса, таким, например, как ISS.. Чем больше база, тем качественнее и дороже решение для фильтрации.

Таким образом, наиболее оптимальным и дешевым методом фильтрации будет самостоятельная настройка кэширующего прокси-сервера с антивирусной защитой.



2. Теоретическое обоснование предметной области

Учитывая вышеперечисленные причины и особенности сетевой защиты и информационной безопасности учебных заведений, наиболее оптимальным вариантом обеспечения фильтрации контента и защиты является создание и внедрение в локальную вычислительную сеть прокси-сервера с функцией кэширования и антивирусной защитой. Существуют несколько вариантов сборки такого прокси-сервера. Рассмотрим их.

2.1 Что такое прокси-сервер

Прокси-сервер -- сервер (комплекс программ) в компьютерных сетях, позволяющий клиентам выполнять косвенные запросы к другим сетевым службам. Сначала клиент подключается к прокси-серверу и запрашивает какой-либо ресурс (например, e-mail), расположенный на другом сервере. Затем прокси-сервер либо подключается к указанному серверу и получает ресурс у него, либо возвращает ресурс из собственного кэша (в случаях, если прокси имеет свой кэш). В некоторых случаях запрос клиента или ответ сервера может быть изменён прокси-сервером в определённых целях. Прокси-сервер позволяет защищать компьютер клиента от некоторых сетевых атак и помогает сохранять анонимность клиента.

Клиентский компьютер имеет настройку (конкретной программы или операционной системы), в соответствии с которой все сетевые соединения по некоторому протоколу совершаются не на IP-адрес сервера (ресурса), выделяемый из DNS-имени ресурса, или напрямую заданный, а на IP-адрес (и другой порт) прокси-сервера.

При необходимости обращения к любому ресурсу по этому протоколу, клиентский компьютер открывает сетевое соединение с прокси-сервером (на нужном порту) и совершает обычный запрос, как если бы он обращался непосредственно к ресурсу.

Распознав данные запроса, проверив его корректность и разрешения для клиентского компьютера, прокси-сервер, не разрывая соединения, сам открывает новое сетевое соединение непосредственно с ресурсом и делает тот же самый запрос. Получив данные (или сообщение об ошибке), прокси-сервер передаёт их клиентскому компьютеру.

Таким образом прокси-сервер является полнофункциональным сервером и клиентом для каждого поддерживаемого протокола и имеет полный контроль над всеми деталями реализации этого протокола, имеет возможность применения заданных администратором политик доступа на каждом этапе работы протокола.

Прокси-серверы являются самым популярным способом выхода в Интернет из локальных сетей предприятий и организаций. Этому способствуют следующие обстоятельства:

- Основной используемый в интернете протокол -- HTTP, в стандарте которого описана поддержка работы через прокси;

- Поддержка прокси большинством браузеров и операционных систем;

- Контроль доступа и учёт трафика по пользователям;

- Фильтрация трафика (интеграция прокси с антивирусами);

- Прокси-сервер -- может работать с минимальными правами на любой ОС с поддержкой сети (стека TCP/IP);

- Многие приложения, использующие собственные специализированные протоколы, могут использовать HTTP как альтернативный транспорт или SOCKS-прокси как универсальный прокси, подходящий для практически любого протокола;

- Отсутствие доступа в Интернет по другим (нестандартным) протоколам может повысить безопасность в корпоративной сети.



2.2 Применение прокси-серверов

Чаще всего прокси-серверы применяются для следующих целей:

- Обеспечение доступа компьютеров локальной сети к сети Интернет.

- Кэширование данных: если часто происходят обращения к одним и тем же внешним ресурсам, то можно держать их копию на прокси-сервере и выдавать по запросу, снижая тем самым нагрузку на канал во внешнюю сеть и ускоряя получение клиентом запрошенной информации.

- Сжатие данных: прокси-сервер загружает информацию из Интернета и передаёт информацию конечному пользователю в сжатом виде. Такие прокси-серверы используются в основном с целью экономии внешнего сетевого трафика клиента или внутреннего -- компании, в которой установлен прокси-сервер.

- Защита локальной сети от внешнего доступа: например, можно настроить прокси-сервер так, что локальные компьютеры будут обращаться к внешним ресурсам только через него, а внешние компьютеры не смогут обращаться к локальным вообще (они «видят» только прокси-сервер).

- Ограничение доступа из локальной сети к внешней: например, можно запретить доступ к определённым веб-сайтам, ограничить использование интернета каким-то локальным пользователям, устанавливать квоты на трафик или полосу пропускания, фильтровать рекламу и вирусы.

- Анонимизация доступа к различным ресурсам. Прокси-сервер может скрывать сведения об источнике запроса или пользователе. В таком случае целевой сервер видит лишь информацию о прокси-сервере, например, IP-адрес, но не имеет возможности определить истинный источник запроса. Существуют также искажающие прокси-серверы, которые передают целевому серверу ложную информацию об истинном пользователе.

- Обход ограничений доступа. Прокси-серверы популярны среди пользователей стран, где доступ к некоторым ресурсам ограничен законодательно и фильтруется.

Прокси-сервер, к которому может получить доступ любой пользователь сети интернет, называется открытым.

2.3 Виды прокси-серверов

Прозрачный прокси -- схема связи, при которой трафик, или его часть, перенаправляется на прокси-сервер неявно (средствами маршрутизатора). При этом клиент может использовать все преимущества прокси-сервера без дополнительных настроек браузера (или другого приложения для работы с интернетом). Пример: route -p add 10.32.5.5 mask 255.255.255.255 10.32.1.14

Обратный прокси -- прокси-сервер, который в отличие от прямого, ретранслирует запросы клиентов из внешней сети на один или несколько серверов, логически расположенных во внутренней сети. Часто используется для балансировки сетевой нагрузки между несколькими веб-серверами и повышения их безопасности, играя при этом роль межсетевого экрана на прикладном уровне.

Рассмотрим некоторые решения, которые предлагают различные компании для организации такого прокси-сервера, в данной работе мы рассмотрим 2 прокси-сервера с функцией кэширования.

2.4 HandyCache

HandyCache -- это локальный кэширующий прокси-сервер для операционной системы Windows. Основная функция программы -- экономия входящего трафика и ускорение загрузки веб-страниц, а также блокировка рекламы. Работает с любыми браузерами и программами, загружающими информацию по протоколу HTTP. В версии 1.0 RC2 (1.0.0.103 unstable) добавлена работа с FTP (без возможности использования внешнего прокси).

HandyCache -- проприетарная программа с закрытым кодом. Распространяется бесплатно для некоммерческого использования. Для коммерческого нужно будет купить лицензии. В связи с наличием нескольких ограничений в бесплатной версии HandyCache относится к классу условно бесплатного ПО.

2.5 Возможности программы HandyCache

- Многоязычный интерфейс

- Настраиваемый список кэширования

- Чёрный список -- фильтрация рекламы и прочего нежелательного контента

- Позволяет не обновлять свежие файлы -- возможность брать из кэша файлы полученные не позднее чем через период времени, заданный в настройках

- Возможность временной отмены действия списков по нажатию заданной клавиши

- 2 каталога кэша, а также 2 каталога кэша <только для чтения>

- Ограничение доступа к программе заданными IP-адресами, а также авторизация по имени пользователя

- Запрет загрузки файлов, превышающих заданный размер

- Работа в автономном режиме (когда информация берётся только из кэша программы), временный переход в автономный режим по нажатию клавиши, переход в автономный режим по нажатию сочетания клавиш

- Очистка кэша по заданным параметрам

- Кэширование посещённых страниц в оперативной памяти компьютера

- Кэширование DNS

- Интегрированный дозвон

- Возможность использования внешнего (родительского) прокси-сервера

- Работа с FTP (без внешнего прокси)

- SOCKS5-прокси

- Перенаправление TCP и UDP-портов

- Расширения на языке lua c широкими возможностями (в том числе фильтрация контента на лету)

- Управление программой через HTTP-протокол

- Интеграция в Internet Explorer

- Монитор загрузки

- Статистика экономии трафика

- Все списки программы используют регулярные выражения. Для отладки регулярных выражений в программе имеется тренажёр

Рисунок 2.1 Меню программы HandyCache



2.5.1 Условия использования

Программа HandyCache бесплатна для некоммерческого использования, о чём, в частности, указывается на сайте программы и на вкладке «о программе».

Платная регистрация программы снимает несколько ограничений (в связи с чем возможно классифицировать HandyCache как shareware):

- Отсутствие ограничений по количеству пользователей (в незарегистрированной версии -- 5)

- Включает возможность кэширования https трафика, в бесплатной версии существует возможность опробовать эту функцию в течение получаса после загрузки программы.

- Не будет принудительно разрешаться загрузка рекламы с сайта программы.

- На вкладке «о программе» вместо стандартного текста будет указание имени пользователя.

- Наличие документов об оплате регистрации и возможность предъявлять их в случае проверки предприятия.

Таким образом, HandyCache может быть неплохим решением для систем Windows, однако его свойства, а именно проприетарность и закрытый исходный код могут послужить причиной уязвимости сети. Так как код системы закрыт, невозможно обнаружить уязвимость до того, как она будет использована для атаки. А платность программы вынуждает дожидаться устранения уязвимости силами сотрудников компании Microsoft, ожидая, когда будет выпущено обновление, закрывающее уязвимость. За это время проникшая вредоносная программа способна нанести значительный ущерб данным ЛВС предприятия. Недавний вирус WannaCry использовал уязвимость самой ОС Windows, и задержка реакции на заражение привели к многочисленным потерям данных по всему миру, тогда как свободное ПО менее подвержено риску за счет того, что анализируется множеством пользоателей, и решение проблемы может осуществить сам пользователь даже без большого опыта, узнав информацию на интернет-обсуждениях (форумах), посвященных определенной программе или проблеме в ней.

2.6 Squid

Squid (англ. squid -- «кальмар») -- программный пакет, реализующий функцию кэширующего прокси-сервера для протоколов HTTP, FTP, Gopher и (в случае соответствующих настроек) HTTPS. Разработан сообществом как программа с открытым исходным кодом (распространяется в соответствии с GNU GPL). Все запросы выполняет как один неблокируемый процесс ввода-вывода.

Используется в UNIX-подобных системах и в ОС семейства Windows NT. Имеет возможность взаимодействия с Active Directory Windows Server путём аутентификации через LDAP, что позволяет использовать разграничения доступа к интернет ресурсам пользователей, которые имеют учётные записи на Windows Server, также позволяет организовать «нарезку» интернет трафика для различных пользователей.

Используется вместе с движками Mediawiki на wiki хостингах. Использование кэширующего прокси-сервера для сайтов становится выгодно примерно с 2000 посетителей в сутки.

Является одним из самых популярных прокси-серверов в мире, за счет своей эффективности, модульность, широкого диапазона настроек и бесплатности.

Сервер Squid развивается в течение уже многих лет. Обеспечивает совместимость с большинством важнейших протоколов Интернета, а также с операционными системами:

- AIX

- BSDI

- FreeBSD

- Linux

- HP-UX

- IRIX

- Mac OS X

- Microsoft Windows

- NetBSD

- NeXTStep

- OSF и Digital Unix

- OpenBSD

- SCO Unix

- SunOS/Solaris

2.6.1 Описание архитектуры

Для контроля доступа к ресурсам и определения ряда действий используются списки контроля доступа (англ. access control list, acl). Каждый ACL может состоять из нескольких критериев (но только одного типа):

- адрес (сеть) источника запроса, цели запроса

- имя (доменное имя) источника запроса, имя цели запроса

- части URL запроса

- протокол

- порт (получателя, отправителя, самого squid'а)

- метод (POST или GET) при передаче данных по HTTP

- браузер (User-agent)

- ident (запрос к рабочей станции)

- Номер автономной системы отправителя/получателя (не для всех случаев)

- Авторизация на прокси-сервере (см. ниже)

- Номер соединения (чаще всего используется для ограничения количества соединений)

- SNMP

- сертификаты пользователя

- параметры запроса

- внешние обработчики

Идентификация

Squid поддерживает несколько видов идентификации пользователей:

- По IP-адресу (или доменному имени узла)

- По переданным реквизитам (логин/пароль)

- По идентификатору пользовательского агента (браузера)

Для идентификации по логину/паролю возможно использовать:

- Обычные логин/пароль

- NTLM-авторизацию

- Внешние программы авторизации (определяющие формат авторизации)

Рисунок 2.2 схема комплекса LAMP, работающего вместе с сервером Squid.

Высокопроизводительное и отказоустойчивое решение для веб-сервера во враждебном окружении.

2.6.2 Редиректоры Squid

Squid имеет возможность переписывать запрашиваемые URL. Squid может быть сконфигурирован так, чтобы пропускать входящие URL через процесс редиректора выполняемого как внешний процесс (подобно dnsserver), который возвращает новый URL или пустую строку, обозначающую отсутствие изменений.

Редиректор не является стандартной частью пакета Squid. Редиректор предоставляет администратору контроль за передвижениями пользователей. Использование редиректора в сочетании с прозрачным проксированием дает простой, но эффективный контроль, над доступом к нежелательным ресурсам (например к развлекательным ресурсам и социальным сетям в корпоративной сети, порнографии). Программа-редиректор должна читать URL (один на строку) со стандартного входа и записывать измененные URL или пустые строки на стандартный выход. Нужно заметить, что программа-редиректор не может использовать буферизированный ввод-вывод. Squid дописывает дополнительную информацию после URL, которую редиректор может использовать для принятия решения.

SAMS (SQUID Account Management System) -- программное средство для администрирования доступа пользователей к прокси-серверу Squid.

На данный момент SAMS настраивает работу редиректоров:

- Редиректор SAMS -- редиректор, работающий напрямую с базами SAMS

- SquidGuard -- очень мощный редиректор.

- Стандартный SQUID -- простейший редиректор, описанный в документации к SQUID

Виды редиректоров:

Редиректор SAMS

Написан специально для SQUID, напрямую использует информацию, содержащуюся в базе данных. Позволяет включить различное перенаправление запросов для пользователей (регулируется шаблонами пользователей). Редиректор SAMS обеспечивает:

- ограничение доступа пользователей к SQUID

- контроль времени доступа пользователей к SQUID

- ограничение доступа пользователей к запрещенным ресурсам (или доступ пользователей только к разрешенным ресурсам)

- перенаправление запросов пользователей к баннерам, счетчикам и т. п.

Редиректор SquidGuard

Мощный редиректор с большими возможностями. В состав редиректора входят списки баннерных, порно и пр. доменов. SAMS добавляет в файл конфигурации SquidGuard squidguard.conf настройки на списки запрещенных доменов и перенаправления доступа SAMS. Настройки на списки, идущие с SquidGuard не изменяются и не удаляются.

При использовании редиректора SquidGuard в файл squid.conf заносятся acl, разрешающие доступ всех пользователей к SQUID. Ограничение доступа пользователей организовано средствами редиректора.

Стандартный SQUID

Этот редиректор описан в документации на SQUID. Написан на perl. Редиректор создается после подачи команды на реконфигурирование SQUID, на основе списков перенаправления запросов. Быстрый и легкий редиректор, но не различает пользователей.

При использовании этого редиректора, ограничение доступа пользователей по спискам запрета доступа организовано с использованием ACL SQUID. При использовании редиректора SQUID или если редиректор не используется вовсе, то существует возможность -- при отключении пользователей за превышение трафика у них остается доступ к URL и IP адресам, прописанным в списке «Локальные домены».



2.6.3 Ограничение максимальной скорости соединения

Ограничение максимальной скорости получения пользователем (пользователями) в squid реализовано с помощью механизма англ. delay pools (дословно -- «пулы задержки»). Механизм ограничения скорости работает по принципу бассейна (откуда и название pool (бассейн)), в который «втекает» и «вытекает» информация. Отдельные конфигурируемые подобным образом области памяти называются англ. bucket (ведро). У ведра есть параметры: «ёмкость», «скорость наполнения». Если пользователь (пользователи) получают информацию на скорости ниже, чем «скорость наполнения», то ведро всегда полно. Если пользователь кратковременно поднимает скорость получения информации выше скорости наполнения, то до момента, пока ведро не пусто, он не ограничивается по скорости, как только ведро становится пустым, клиент получает информацию со скоростью наполнения ведра. В случае наличия групповых и индивидуальных вёдер, они включаются последовательно.

Существует три типа (класса) delay pools:

- Единое ведро (англ. aggregate bucket, class 1) ограничение на общую потребляемую полосу для всей группы. (параметры: ёмкость бассейна, скорость наполнения).

- Единое ведро с автоматическим формированием индивидуальных вёдер (англ. single aggregate bucket as well as an "individual" bucket, class 2). Индивидуальные вёдра формируются из битов IP-адреса (c 25 по 32).

- Единое ведро, сетевые вёдра и индивидуальные вёдра (англ. single aggregate bucket as well as a "network" bucket and a "individual" bucket, class 3). Сетевое ведро формируется по битам 17-24 IP-адреса.

Для каждого ведра указываются два параметра: ёмкость и скорость наполнения. ?1 означает «без ограничения».

Попадание пользователей в то или иное ведро определяется списками доступа к вёдрам, они просматриваются в порядке упоминания в файле конфигурации до первого совпадения. Пользователи, не попадающие ни в одно из вёдер, в скорости не ограничиваются.

2.6.4 Обратное кэширование

Одной из особенностей squid является возможность работать в режиме «обратного прокси» («reverse proxy»), также известного как «ускоритель» («HTTP accelerator»). В этом случае вместо кэширования запросов нескольких пользователей к множеству сайтов, кешируются запросы множества пользователей к нескольким сайтам. В этом режиме принятый запрос проверяется на «динамичность» (нужно ли каждый раз обрабатывать запрос с нуля) и «возраст» (актуальны ли ещё данные). Если данные ещё актуальны и не поменялись, то запрос не передаётся серверу, а отдаётся из кеша squid'а. Таким образом существенно снижается нагрузка на серверы (например, в Википедии запросы к страницам кешируются, так как от просмотра их содержимое не меняется, при этом нагрузка на серверы существенно меньше -- обработка запроса к кешу много проще, чем обработка запроса к базе данных SQL, обработка вики-разметки и формирование веб-страницы).

Кроме того, «обратный прокси» способен распределять запросы между несколькими серверами, балансируя нагрузку и/или обеспечивая отказоустойчивость, то есть фактически предоставляет функциональность, аналогичную кластеру.

2.6.5 Режим прозрачного прокси-сервера

В сочетании с некоторыми межсетевыми экранами и маршрутизаторами squid может работать в режиме прозрачного прокси (англ. transparent proxy). В этом режиме маршрутизатор вместо того, чтобы сразу пересылать HTTP-запросы пользователя HTTP-серверу в Интернете, перенаправляет их прокси-серверу, который может работать как на отдельном хосте, так и на самом маршрутизаторе. Прокси-сервер обрабатывает запрос (с возможной отдачей содержимого из кеша), это содержимое направляется к запросившему пользователю, для которого оно выглядит как «ответ» сервера, к которому адресовался запрос. Таким образом, пользователь может даже не знать, что все запросы и ответы прошли через прокси-сервер.

При таком подходе проксирования аутентификация не предусмотрена, так как прозрачность проксирования это и подразумевает.

Таким образом, наилучшим выбором для образовательного учреждения будет создание кэширующего прокси-сервера на основе Squid с дополнительно установленной антивирусной защитой ClamAV и фильтром Dansguardian.

контентный фильтрация сервер антивирус



3. Внедрение в локальную вычислительную сеть образовательной организации кэширующего прокси-сервера Squid с антивирусной защитой ClamAV и фильтром Dansguardian

3.1 Информация об объекте внедрения

ГКС(к)ОУ «Котовская С(к)ОШИ» является государственным казенным специальным (коррекционным) образовательным учреждением для обучающихся, воспитанников с ограниченными возможностями здоровья «Котовская специальная (коррекционная) общеобразовательная школа-интернат VIII вида», основанная в 1964 г., подчиняющееся Министерству образования и науки Волгоградской области

Основным направлением деятельности ГКС(к)ОУ «Котовская С(к)ОШИ» является обучение, образование и реализация детей с ограниченными возможностями здоровья для интеграции их в общество, оказание образовательных услуг.

Создание школы обусловлено решением задачи по обучению, ребенку надо дать тот уровень образования, который поможет ему не потеряться в обществе, найти свое место в жизни. Он должен научиться не выживать, а жить достойно в соответствии со своими особенностями. Общество ждет школу развивающую и развивающуюся, укомплектованную педагогами, преданных школе и детям, мотивированных на профессиональную самоотдачу и непрерывный педагогический поиск.

3.2 Аппаратное и программное обеспечение компьютерной сети организации

Школа интернат имеет в общем количестве 23 компьютера, из них один компьютер администратора, компьютеры преподавателей - 16, компьютеры учеников - 6. Все компьютеры соединены посредством витой пары категории 5 по топологии «Звезда».

Активное сетевое оборудование представлено Wi-Fi роутером, и тремя коммутаторами TP-Link: TL-SF1005D, TL-SF1008D, TL-SF1024D на 5, 8 и 24 порта. Подробные характеристики активного оборудования Котовской школы интернат представлены в таблице 2.1.1.

Таблица № 2.1.1 -- Активное оборудование Котовской школы интернат

Оборудование	Характеристики
Wi-Fi-точка доступа (роутер)	стандарт Wi-Fi: 802.11n, макс. скорость: 300 Мбит/с, коммутатор 4xLAN, поддержка VPN, скорость портов 100 Мбит/сек.
Коммутатор TP-Link TL-SF1005D	Неуправляемый коммутатор, 5 портов 10/100 Mбит/сек., использование системы потока 802.3x, наличие Plug and Play, поддержка MDI / MDIX.
Коммутатор TP-Link TL-SF1008D	Неуправляемый коммутатор, 8 портов 10/100 Mбит/сек., функция контроля потока 802.3x в полнодуплексном режиме, размер Jumbo-кадров 10 Кбайт.
Коммутатор TP-Link TL-SG1024D	Неуправляемый коммутатор, 24 порта 10/100/1000 Mбит/сек., 8 тыс. таблица МАС-адресов, способность управления потоком 802.3x.

Все рабочие станции Котовской школы интернат представлены единой конфигурацией. Основой рабочей станции выступает материнская плата на базе системной логики H35 от Intel. В качестве процессора используется процессор Intel Core i3 первого поколения с тактовой частотой 2,93 Ггц.

Подробные характеристики рабочих станций Котовской школы интернат представлены в таблице 2.1.2.

Таблица № 2.1.2 -- Рабочая станция

Оборудование	Характеристики
Материнская плата - Gigabyte GA-H55M-S2H;	Системная логика - Intel H55; Разъём процессора - LGA 1156; Форм-фактор - mATX.
Центральный процессор - Intel Core i3-530	Два ядра, тактовая частота - 2.93 ГГц, разделяемый кэш третьего уровня - 4 Мбайта, DMI - 2,5 Гт/с, Hyper Threading, VT-x, XD Bit, расширение системы команд вплоть до SSE4.2.
Система охлаждения	Процессор: CoolerMaster Silence, корпус - Floston, 80 мм.
Оперативная память 4 Гбайта	два модуля по 2 Гбайта, PC3-10600 (DDR3 1333 МГц), Hyundai.
Жёсткий диск	1 Тбайт Western Digital Caviar Green, SATA-II, 5400-7200 об/мин, кэш 64 Мбайта;
Оптический привод DVD RAM & DVD±R/RW & CDRW SATA
Видеокарта	Базовая конфигурация: Intel HD Graphics, интегрирован в CPU; Расширенная конфигурация: Sapphire Ati Radeon HD5750, 512 DDR5.
Корпус Miditower ASUS TAB71-SOB Black-Silver-Orange ATX
Блок питания Vento ATX-500H.

Сервер в организации представлен компьютером под управлением Windows Server 2008 R2 на базе материнской платы Asus A88XM-E и процессора AMD A8-7600.

Подробные характеристики сервера Котовской школы интернат представлены в таблице 2.1.3

Таблица № 2.1.3 -- Компьютер, исполняющий роль сервера.

Оборудование	Характеристики
Корпус mATX Golden Field 3201B 460W	(или аналогичный небольшой корпус с блоком питания другого производителя + тихий корпусный кулер Zalman ZM-F2 FDB).
Жесткий диск Western Digital Caviar Green	500GB 64МB WD5000AZRX 3.5 SATA III.
Процессор AMD A8-7600 BOX FM2+
Материнская плата Asus A88XM-E
Оптический привод LG DVD Super Multi GH24NSC0
Оперативная память (2 идентичных модуля) Kingston ValueRAM	DDR3 1600GHz 2Gb (KVR16N11S6/2).

Программное обеспечение сети представлено операционными системами Windows 7, установленными на рабочих станциях. На клиентских компьютерах работа с электронной почтой организована посредством клиентской версии Microsoft Office Outlook, что позволяет получать и отправлять почту, работать с расписаниями, контактами и задачами, а также вести запись своих действий.

На сервере установлен Courier Mail Server - почтовый сервер под Windows для офисных и домашних сетей. Он позволяет быстро организовать обмен электронной почтой в локальной сети и в Интернете.

Совместная работа над документами настроена через облачное хранилище Microsoft OneDrive. Это предоставляет повсеместный доступ к файлам на любом устройстве. Можно делиться файлами с сотрудниками, чтобы наладить совместную работу в режиме реального времени. Каждый пользователь получает 1 ТБ. Удобный поиск файлов и управление при котором можно работать с новейшей версией документа, сохранив возможность восстанавливать предыдущие версии.

...