Резервное копирование данных ведется через программу Acronis Backup. Благодаря ней выполняется восстановление любых данных, быстрая скорость резервного копирования и восстановления, отвечает требованиям бюджета малого бизнеса.

3.3 Внедрение прокси-сервера Squid с антивирусом ClanAV и фильтром Dasnguardian

Squid - это полнофункциональное приложение кэширующего прокси сервера, которое предоставляет сервисы кэширования и прокси для HTTP, FTP и других популярных сетевых протоколов. Squid может осуществлять кэширование и проксирование SSL запросов и кэширование результатов DNS поиска, а также выполнять прозрачное кэширование. Squid также поддерживает широкий набор кэширующих протоколов, таких как ICP (кэширующий интернет протокол), HTCP (гипертекстовый кэширующий протокол), CARP (протокол кэширования маршрутизации) и WCCP (кэширующий протокол перенаправления контента).

Прокси сервер Squid - это великолепное решение широких требований к кэширующему и прокси серверу, которое масштабируется для сетей от уровня регионального офиса до корпорации, когда обеспечивается расширяемый разделяемый механизм контроля доступа и отслеживания критических параметров через протокол SNMP.

Установка: В терминале вводим следующую команду для установки сервера Squid:

sudo apt-get install squid

3.3.1 Настройка Squid

Squid настраивается редактированием директив, содержащихся в конфигурационном файле /etc/squid/squid.conf. Следующие действия иллюстрируют директивы, которые могут быть изменены для воздействие на поведение сервера Squid.

Прежде, чем редактировать конфигурационный файл, нужно сделать копию оригинального файла и защитить ее от перезаписи, чтобы под рукой всегда оставались оригинальные настройки в качестве справочника и для повторного использования при необходимости.

Скопируем файл /etc/squid/squid.conf и защищаем его от записи следующими командами в терминале:

sudo cp /etc/squid/squid.conf /etc/squid/squid.conf.original

sudo chmod a-w /etc/squid/squid.conf.original

1. Для настройки сервера Squid на прослушивание порта 8888 вместо стандартного 3128, изменяем директиву http_port .

http_port 8888

2. Изменяем директиву visible_hostname для того, чтобы присвоить серверу Squid определенное имя хоста (hostname). Это имя необязательно должно быть именем хоста компьютера, например, weezie:

visible_hostname weezie

3. Используя контроль доступа Squid, настраиваем так, чтобы использование интернет сервиса прокси было доступно только пользователям с определенных IP адресов. Например, доступ пользователей только из подсети 192.168.42.0/24:

Добавляем следующее в конец секции ACL файла /etc/squid/squid.conf:

acl fortytwo_network src 192.168.42.0/24

Затем добавляем следующее в начало секции http_access файла /etc/squid/squid.conf:

http_access allow fortytwo_network

4. Используя великолепные возможности контроля доступа Squid, возможно настроить возможность использования интернет сервиса прокси только в обычные рабочие часы. Например, настроить доступ сотрудников, которые работают с 9:00 до 17:00 с понедельника по пятницу из подсети 10.1.42.0/24:

Добавляем следующее в конец секции ACL файла /etc/squid/squid.conf:

acl biz_network src 10.1.42.0/24

acl biz_hours time M T W T F 9:00-17:00

Затем добавляем следующее в начало секции http_access файла /etc/squid/squid.conf:

http_access allow biz_network biz_hours

После внесения изменений в файл /etc/squid/squid.conf сохраняем его и перегружаем приложение сервера squid, чтобы изменения вступили в силу, следующей командой в терминале:

sudo /etc/init.d/squid restart

мы используем для подключения к провайдеруL2TP, то для этого понадобится установить xl2tpd -- демон l2tp и pppd -- демон ppp.

Устанавливаем:

sudo apt-get install pppd xl2tpd

Редактируем файл настроек xl2tpd:

sudo nano /etc/xl2tpd/xl2tpd.conf

[global]

access control = yes # разрешать соединения только с адресами из lac секций

[lac beeline]

lns = tp.internet.beeline.ru # адрес для подключения

redial = yes # "перезвонить" при потере связи

redial timeout = 10 # время между попытками переустановить связь после обрыва(в секундах)

max redials = 100 # максимальное количество попыток

autodial = yes # устанавливать соединение при запуске xl2tpd

require pap = no # не использовать pap аутентификацию

require chap = yes # использовать chap аутентификацию

require authentication = no # не использовать аутентификацию удаленного сервера

name = 000ххххххх # логин

pppoptfile = /etc/ppp/options.l2tp # файл с опциями ppp

ppp debug = yes # вывод подробной информации pppd в syslog

tx bps = 100000000 # скорость туннеля

Затем редактируем:

sudo nano /etc/ppp/options.xl2tp

000ххххххх #номер договора

noauth

nobsdcomp #

nodeflate # параметры сжатия пакетов

nopcomp #

noaccomp #

connect /bin/true

remotename beeline # метка для удаленного сервера

ipparam beeline # дополнительный параметр для системных скриптов

defaultroute # маршрут по умолчанию через ppp интерфейс

replacedefaultroute

mtu 1460

Записываем в файл chap-secrets логин и пароль:

sudo nano /etc/ppp/chap-secrets:

login * password

Запускаем xl2tpd,

sudo service xl2tpd start

соединение должно быть установлено.

На установленной машине Интернет появился. Теперь надо добавить включить все репозитарии в /etc/apt/source.list и выполнить:

sudo apt-get update

Для доступа с других машин вашей локальной сети необходимо поставить всего лишь навсего два пакета:

- Установите и запустите пакет для раздачи пакетов по сети:

sudo apt-get install dnsmasq

Или, вы можете использовать DNS провайдера.

- Так же необходимо установить пакет ipmasq для NAT:

sudo apt-get install ipmasq

Вот и всё!

Теперь редактируем конфигурационный файл. Открываем /etc/squid/squid.conf, ищем нужные строки и корректируем следующим образом:

http_port 3128 #<<< раскомментировать эту строчку

cache_dir ufs /var/spool/squid 100 16 256 #<<< раскомментировать эту строчку

acl our_networks src 192.168.0.0/24 #<<< раскомментировать эту строчку

http_access allow our_networks #<<< раскомментировать эту строчку

visible_hostname proxy.localdomain #<<< добавить строчку, взамен строки 2161

Перезапускаем прокси-сервер командой:

/etc/init.d/squid restart

Настраиваем браузеры на клиентских машинах на использование прокси: адрес прокси - пишем IP адрес интерфейса, обращенного в локальную сеть. Это будет 192.168.0.1, порт прокси - указанный в конфигурационном файле 3128.

http_port 3128 transparent

Затем для заворачивания нужных портов на прокси-сервер прописывается правило:

iptables -t nat -A PREROUTING -i eth0 ! -d 192.168.0.0/24 -p tcp -m multiport --dports 80,8080 -j DNAT --to-destination 192.168.0.1:3128

Раздача Интернета в локальную сеть c помощью firestarterFirestarter - это средство для создания межсетевых экранов для Linux, использующее GNOME. С помощью мастера можно создать базовый межсетевой экран, в дальнейшем его возможности расширяются с помощью динамических правил. Несколькими щелчками мыши можно открывать и закрывать порты или скрывать сервисы, оставляя доступ только к некоторым из них. В программе имеется монитор, который в режиме реального времени показывает попытки поиска злоумышленниками открытых портов.

Для начала установим firestarter:

sudo apt-get install firestarter

При настройке указываем интерфейс с Интернетом -- ppp0 раздавать на eth1

3.3.2 Раздача Интернета в локальную сеть (ICS: Internet Connection Sharing)

Для организации совместного доступа в Интернет с помощью общего доступа к подключению Интернета на сервере должна быть одна сетевая карта для подключения к внутренней сети и еще одна карта или модем для подключения к Интернету.

На сервере

Исходные данные: Оба компьютера соединены по сети. На сервере установлено две сетевые карты:

- eth0 - к ней подключен интернет;

- eth1 - к ней подключена локальная сеть.

Настройте вторую карту (eth1) так:

- IP: 192.168.0.1

- Netmask: 255.255.255.0

Это можно сделать вручную или используя терминал:

sudo ifconfig eth1 192.168.0.1 netmask 255.255.255.0

sudo ifconfig eth1 up

Разрешите направление пакетов. Чтобы сделать это, отредактируйте /etc/sysctl.conf. Откройте сам файл командой:

sudo gedit /etc/sysctl.conf

А затем вставьте следующую строчку:

net.ipv4.ip_forward=1

Для того, чтобы применить это правило до перезагрузки выполните:

sysctl -w net.ipv4.ip_forward="1"

Затем добавляем правило для NAT:

iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

Где eth0 название вашего интерфейса через который выходите в интернет. Измените его если используете другой интерфейс (напрмер ppp0) тогда команда будет выглядит иначе:

iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE

Установите и запустите пакет для раздачи пакетов по сети:

sudo apt-get install dnsmasq

Или, вы можете использовать DNS провайдера.

Чтобы NAT работал после перезагрузки сохраняем настройки iptables в файл:

iptables-save > /etc/iptables.up.rules

И добавляем в конец файла:

sudo gedit /etc/network/interfaces

Эту строчку, для автоматической подгрузки правится:

pre-up iptables-restore < /etc/iptables.up.rules

Также в этот файл добавляем правила роутинга:

up route add -net 192.168.0.0 netmask 255.255.255.0 dev eth1

up route add -net 0.0.0.0 netmask 255.255.255.255 dev eth0

sudo nano /etc/dnsmasq.conf

interface=eth1 # интерфейс, который будет слушать dnsmasq

listen-address=192.168.0.1 # адрес, на котором будет находиться dnsmasq

bind-interfaces eth1 # слушать только интерфейс

dhcp-range=192.168.0.5,192.168.0.50,255.255.255.0,24h1 # диапазон выдаваемых адресов

dhcp-option=3,192.168.0.1 # шлюз по умолчанию

Перезапускаем dnsmasq:

sudo service dnsmasq restart

Настраиваем клиентские компьютеры на автоматическое получение адреса.

Если после перезагрузки правила iptables не восстанавливаются, добавьте:

iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

в любой стартовый скрипт (rc.local например). Вместо eth0 надо написать ppp0, если этот интерфейс получает интернет от провайдера:

iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE

3.4 Настройка роутера (NAT с DHCP и Squid)

Приступим к настройке:

В первую очередь настроим сетевые соединения. Вводим в консоли:

sudo nano /etc/network/interfaces

Эта команда откроет в консольном редакторе nano конфигурационный файл с сетевыми интерфейсами, аналогичный рисунку ниже.

Пока там прописан единственный интерфейс eth0, настроенный на работу по DHCP. К eth0 у нас подключен ADSL модем (или любая сеть провайдера), а eth1 смотрит во внутреннюю сеть. IP адрес на внешнем интерфейсе 192.168.1.2, шлюз (ADSL модем) 192.168.1.1, внутренняя сеть лежит в диапазоне 10.0.0.1 - 254. Тогда настройки будут выглядеть следующим образом:

3 auto eth0

4 iface eth0 inet static

5 address 192.168.1.2

6 netmask 255.255.255.0

7 gateway 192.168.1.1

8 auto eth1

9 iface eth1 inet static

10 address 10.0.0.1

11 netmask 255.255.255.0

Сохраняем изменения Ctrl+O и выходим Ctrl+X. Теперь нужно настроить DNS, для этого выполняем:

sudo nano /etc/resolv.conf

В этом файле необходимо указать адреса DNS серверов, лучше всего указать DNS провайдера или OpenDNS.

#OpenDNS Servers

nameserver 208.67.222.222

nameserver 208.67.220.220

Сохраняем. Теперь нужно перезапустить сетевые службы (либо перезагрузиться):

sudo /etc/init.d/networking restart

Собственно сеть настроена, можно переходить к следующему этапу, однако рекомендуется установить еще несколько пакетов для удобства администрирования. Сначала обновим список доступных пакетов:

sudo apt-get update

Также рекомендуется обновить версии пакетов до актуальных:

sudo apt-get upgrade

Теперь установим Midnight Commander (mc), файловый менеджер по образу и подобию Norton Commander или Far:

sudo apt-get install mc

Для запуска Midnight Commander достаточно набрать в консоли его краткое имя: mc. Сразу рекомендуем включить встроенный редактор, более удобный чем nano: F9 - Настройки - Конфигурация - Встроенный редактор.

Для удаленного управления сервером установим OpenSSH, что позволит подключаться к нему из любого места, даже из дома, по защищенному протоколу:

sudo apt-get install ssh

Для подключения с Windows станций можно использовать программу PuTTY, для корректного отображения символов перед подключением необходимо на закладке Window - Translation выбрать кодировку UTF8.

Для ограничения доступа к серверу можно дописать в файл /etc/ssh/sshd_config параметр AllowUsers с указанием пользователя имеющего доступ по SSH, например для пользователя admin:

AllowUsers admin

Также можно разрешить доступ определенной группе пользователей используя параметр AllowGroups, либо запретить доступ определенным пользователям / группам использовав DenyUsers и DenyGroups.

Настраиваем NAT

Для организации общего доступа к интернет необходимо настроить трансляцию сетевых адресов (NAT), что позволит сетевым службам внутренней сети получать доступ к внешней сети. Для этого достаточно выполнить всего одну команду, и мы вынесем эти настройки в отдельный скрипт, запускаемый при загрузке системы. Сначала создадим файл скрипта:

sudo touch /etc/nat

Потом откроем его в редакторе Midnight Commander (F4) и внесем следующий текст:

#!/bin/sh

Включаем форвардинг пакетов

echo 1 > /proc/sys/net/ipv4/ip_forward

# Разрешаем трафик на loopback-интерфейсе

iptables -A INPUT -i lo -j ACCEPT

Разрешаем доступ из внутренней сети наружу

iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT

Включаем NAT

iptables -t nat -A POSTROUTING -o eth0 -s 10.0.0.0/24 -j MASQUERADE

Разрешаем ответы из внешней сети

iptables -A FORWARD -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT

Запрещаем доступ снаружи во внутреннюю сеть

iptables -A FORWARD -i eth0 -o eth1 -j REJECT

Сохраняем (F2), для автоматического запуска скрипта снова открываем /etc/network/interfaces и в самый конец файла дописываем:

post-up /etc/nat

Также не забываем дать нашему скрипту права на исполнение:

sudo chmod +x /etc/nat

Перезапускаем сеть:

sudo /etc/init.d/networking restart

Если нигде не допущено ошибок все работает. Для проверки укажем на машинах внутренней сети в качестве шлюза и DNS адрес нашего роутера: 10.0.0.1 и пропингуем внешний адрес, к примеру один из OpenDNS серверов: 208.67.222.222.

Одно из решений: поднять на нашем роутере полноценный DNS сервер, но в большинстве случаев это избыточно, поэтому мы ограничимся простым кэширующим DNS (а также и DHCP) сервером Squid.

sudo apt-get install dnsmasq

После установки открываем /etc/dnsmasq.conf, находим, раскомментируем и изменяем следующим образом строку, чтобы разрешить серверу принимать DNS запросы из внутренней сети.:

listen-address=127.0.0.1, 10.0.0.1

Перезапускаем DNS сервер:

sudo /etc/init.d/dnsmasq restart

После чего на клиентских машинах должен заработать интернет.

Настраиваем DHCP

Теперь, когда наш сервер работает, нужно настроить клиентские машины. Можно, конечно, прописать все параметры вручную, но как быть если клиентских машин много и расположены они по всему зданию? Здесь нам на выручку приходит протокол DHCP, который позволяет клиентским машинам получать сетевые настройки автоматически. В качестве DHCP сервера выступит уже установленный Dnsmasq. Настроить его не просто, а очень просто, для чего снова открываем /etc/dnsmasq.conf.

Все что нам надо, это задать диапазон выдаваемых адресов (в нашем случае 10.0.0.100-150), сетевую маску и время, на которое выдается IP адрес:

dhcp-range=10.0.0.100,10.0.0.150,255.255.255.0,12h

Адреса DNS сервера и шлюза сервер берет автоматически из системных настроек. Еще раз перезапускаем Dnsmasq:

sudo /etc/init.d/dnsmasq restart

Теперь можно выставить на клиенте автоматическое получение IP адреса и убедиться, что все работает нормально.

Просмотреть выданные адреса можно командой:

cat /var/log/syslog | grep DHCPOFFER

В выдаче будут перечислены выданные IP адреса и MAC адреса которым они выданы.

3.5 Настраиваем кэширующий прокси-сервер Squid

В любой большой сети определенная часть трафика повторяется от пользователя к пользователю и порой его доля доходит до 50%. Логично бы было кэшировать наиболее повторяющиеся запросы и тем самым снизить нагрузку на канал, сэкономить входящий трафик и ускорить выдачу страниц конечному пользователю. Для этих задач мы используем Squid - кэширующий прокси с широчайшими возможностями.

sudo apt-get install squid

Останавливаем прокси-сервер и приступаем к настройке:

sudo /etc/init.d/squid stop

Открываем /etc/squid/squid.conf, находим и корректируем следующие строки, не забыв их раскомменитровать:

Указываем порт и адрес на котором squid будет принимать соединения:

http_port 10.0.0.1:3128 transparent

Настраиваем кэш:

cache_dir ufs /var/spool/squid 4096 32 256

Указываем внутренние сети, лишние комментируем:

acl localnet src 10.0.0.0/24 # RFC1918 possible internal network

#acl localnet src 172.16.0.0/12 # RFC1918 possible internal network

#acl localnet src 192.168.0.0/16 # RFC1918 possible internal network

Разрешаем доступ из внутренних сетей (найти и раскомменитровать):

http_access allow localnet

Устанавливаем лимит использования памяти:

memory_pools on

memory_pools_limit 50 MB

Задаем язык вывода ошибок для пользователя

error_directory /usr/share/squid/errors/Russian-koi8-r

error_directory /usr/share/squid/errors/ru

Сохраняем файл конфигурации. Теперь строим кэш и запускаем:

sudo /usr/sbin/squid -z

sudo /etc/init.d/squid start

Для проверки указываем в браузере на клиентской машине использование прокси-сервера с адресом 10.0.0.1 и портом 3128, убеждаемся что все работает. Остается настроить прозрачную работу прокси-сервера, чтобы http трафик заворачивался на Squid автоматически, без прописывания прокси на клиенте. Для этого открываем /etc/nat и дописываем в конец строку:

# Заворачиваем http на прокси

iptables -t nat -A PREROUTING -i eth1 ! -d 10.0.0.0/24 -p tcp -m multiport --dport 80,8080 -j DNAT --to 10.0.0.1:3128

Перезапускаем сеть:

sudo /etc/init.d/networking restart

Все. В нашем распоряжении рабочий сервер, позволяющий организовать общий доступ к интернет, кешируюший http трафик и DNS запросы, а также умеющий раздавать клиентским машинам необходимые для работы в сети настройки.

3.6 DansGuardian. Настраиваем контент-фильтр роутера

Контент-фильтр позволяет эффективно блокировать нежелательный контент на основе анализа содержимого веб страниц. Достоинством этого метода является высокая определения нежелательного контента на любых сайтах, возможность блокировать отдельный материал, не блокируя доступ к сайту в целом. Недостатки тоже довольно существенны. Это повышенная нагрузка на сервер, что в случае большого количества активных клиентов может потребовать значительного увеличения вычислительных возможностей сервера. Вторым недостатком можно назвать возможность ложных срабатываний контент фильтра. Так, например, могут быть заблокированы сайты медицинской тематики из-за того, что на странице встретится слово "секс". Этот фактор делает иногда довольно затруднительным составление правил для фильтрации.

Контент-фильтр можно рекомендовать к применению там, где необходимость надежно блокировать нежелательный контент имеет больший приоритет, чем возможная недоступность нужной информации. В первую очередь это учебные заведения, где задача фильтрации контента стоит весьма остро. Для коммерческих структур на первый план выходит требование к доступности информации, поэтому контент-фильтр будет для них не самым лучшим решением. В этом случае более приемлем способ разграничения доступа по URL и IP.

Одним из лучших решений является DansGuardian. Он бесплатен для некоммерческого применения, цена лицензий тоже невысока. Для установки контент-фильтра необходим настроенный роутер с прокси-сервером Squid.

Для установки DansGuardian выполним в терминале следующую команду:

sudo apt-get install dansguardian

Теперь откроем конфигурационный файл программы /etc/dansguardian/dansguardian.conf, первое что вы должны сделать, это закомментировать или удалить строку:

UNCONFIGURED - ...

Следующий параметр reportinglevel задает уровень фильтрации, он может принимать значения:

- -1 - Скрытый режим, страницы не блокируются, но ведется лог,

- 0 - Выводится "Доступ заблокирован",

- 1 - Выводится страница без показа запрещенных фраз,

- 2 - Полный отчет

- 3 - Выводится HTML шаблон страницы запрета.

По умолчанию уже установлено значение:

reportinglevel = 3

Этот режим наиболее подходит для повседневного применения. Для тестирования правил удобно выставлять уровень фильтрации 1 или 2 (это потребует настройки на машине web-сервера). Следующий интересующий нас параметр, это язык HTML шаблона страницы запрета:

language = 'russian-koi8-r'

Теперь раскомментируем строку указывающую путь к файлу лога:

loglocation = '/var/log/dansguardian/access.log'

Укажем сетевой интерфейс и порт на котором DansGuardian будет принимать соединения от клиентов:

filterip = 10.0.0.1

filterport = 8081

Остальные параметры менять не нужно. DansGuardian будет работать на порте 8081, в свою очередь Squid должен использовать порт 3128. В конфигурационном файле Squid /etc/squid/squid.conf находим следующую строку:

http_port 10.0.0.1:3128 transparent

Меняем ее на:

http_port 127.0.0.1:3128

Перезапускаем Squid:

sudo /etc/init.d/squid restart

Если вы собираетесь использовать уровни фильтрации 1 и 2 укажите путь к скрипту вывода страницы запрета:

accessdeniedaddress = 'http://10.0.0.1/cgi-bin/dans.pl'

Запускаем DansGuardian:

sudo /etc/init.d/dansguardian start

Для проверки настроим браузер клиентского компьютера на использование прокси-сервера 10.0.0.1:8081

3.1Настройка параметров локальной сети

Попробуем посетить сайты с сомнительным контентом. Мы решили набрать в Яндексе поисковый запрос "терроризм" и походить по ссылкам. Фильтр пропустил статью на Википедии, но в то-же время заблокировал статью на стороннем сайте вполне корректного содержания, сыграло роль слишком частое употребление слова "терроризм" в тексте страницы.

Рисунок 3.2 Результаты поиска с фильтром и без



Правилно блокируется доступ к "веселым картинкам", даже по вполне невинным запросам, были заблокированы отдельные страницы форума на которых встречался нежелательный контент. Убедившись в работоспособности контент-фильтра перенастроим наш роутер так, чтобы весь HTTP трафик по умолчанию заворачивался на DansGuardian. Для этого открываем /etc/nat и следующим образом изменяем в нем последнюю строку:

# Заворачиваем http на прокси

iptables -t nat -A PREROUTING -i eth1 ! -d 10.0.0.0/24 -p tcp -m multiport --dport 80,8080 -j DNAT --to 10.0.0.1:8081

Перезагружаем роутер:

sudo reboot

Убираем прокси из настроек браузера и проверяем еще раз. Все должно работать.

Теперь самое время перейти к тонкой настройке фильтрации. Как показали наши испытания, DansGuardian "из коробки" неплохо справляется с большей частью нежелательного контента, но есть и исключения. Существуют тематики где фильтр оказался практически неработоспособным. Например, нецензурная брань, мы без труда посетили "официальный сайт символического направления" и несколько аналогичных ресурсов, также без особого труда нашли инструкцию по изготовлению бомбы и рекомендации по выращиванию конопли. Понятно, что это настраивается, чем мы сейчас и займемся.

Все фильтры DansGuardian представляют собой простые текстовые файлы и расположены в /etc/dansguardian/lists, однако каждый раз править их через консоль сервера не очень удобно, гораздо удобнее было бы работать через web-интерфейс. И такая возможность есть, для этого потребуется установить Webmin, утилиту удаленного администрирования сервера, имеющую весьма широкие возможности. В репозиториях Ubuntu Webmin отсутствует, но его можно установить загрузив deb-пакет с сайта разработчиков, либо подключив их репозиторий. Второй путь кажется нам более оптимальным. Добавим в /etc/apt/sources.list строку:

deb http://download.webmin.com/download/repository sarge contrib

Теперь установим GPG ключ, которым подписаны пакеты в репозитории Webmin, выполним следующие команды:

sudo -s

cd /root

wget http://www.webmin.com/jcameron-key.asc

apt-key add jcameron-key.asc

Теперь обновим список пакетов и приступим к установке:

apt-get update

apt-get install webmin

Доступ через Webmin можно получить с любого ПК набрав в браузере следующий адрес: https://10.0.0.1:10000/

Рисунок 3.3 Настройка Webmin

В настройках Webmin - Webmin Configuration переключаем язык интерфейса на русский и, в целях безопасности, через Управление доступом по IP разрешаем доступ только с машины администратора. Также на закладке Порт и адрес можно ограничить доступ к Webmin только через внутренний интерфейс.

Рисунок 3.4 Настройка DansGuardian

Для управления DansGuardian нам нужен соответствующий модуль для Webmin. В первую очередь правильно сконфигурируем модуль, настройки доступны по ссылке Настройка модуля слева вверху. Нам потребуется изменить настройку Full path to DG binary на /usr/sbin/dansguardian.

Из всего многообразия настроек нас интересуют в основном две: настройка доступа к интернет и настройка списков. Настройка доступа производится через закладку View/Edit System-Wide Lists, она содержит черный список IP адресов и список исключений. Первый содержит перечень адресов которым запрещен веб-доступ, для второго списка фильтрация не производится. Есть смысл включить в него машины преподавателей или иных сотрудников, которым требуется неограниченный доступ.

Закладка View/Edit A Filter Group's Lists содержит разрешающие и запрещающие списки фраз, заголовков страниц, URL, расширений файлов и т.п. За что отвечает тот или иной список ясно из названия, каждый список содержит описание и примеры записей, таким образом добавление своих правил не представляет особого труда.

Некоторая сложность существует с составлением списка русскоязычных фраз. Основная проблема состоит в кириллических кодировках, добавленная в "неправильной" кодировке фраза просто не сработает. наиболее оптимальный способ решения этой проблемы: через оснастку Прочее - Менеджер файлов скачиваем на ПК любой список с русскоязычными фразами, например /etc/dansguardian/lists/phraselists/pornography/weighted_russian и открыв его любым текстовым редактором, добавляем необходимые фразы, строки имеют формат <терроризм><40>, где цифра указывает на "степень нетерпимости", чем она больше, тем меньшее количество раз слово должно встретиться на странице для ее блокировки. После чего закачиваем файл обратно на сервер. После любых изменений в фильтрах не забываем перезагрузить их, нажав на ссылку Reload DG Groups в правом верхнем углу.

3.7 Дополняем контент-фильтр роутера антивирусом ClamAV

3.7.1 Взаимодействие DansGuardian с антивирусом ClamAV

Для того, чтобы заставить DansGuardian использовать антивирус достаточно найти и комментировать в конфигурационном файле /etc/dansguardian/dansguardian.conf строку:

contentscanner = '/etc/dansguardian/contentscanners/clamav.conf'

Перезагружаем DansGuardian:

sudo /etc/init.d/dansguardian stop

sudo /etc/init.d/dansguardian start

Рисунок 3.5 Проверка при помощи тестовых сигнатур EICAR:

3.7.2 Дополняем DansGuardian приложением HAVP

В первую очередь убедимся, что DansGuardian использует порт отличный от 8080, на 8081. В любом случае проверяем что указано в параметре filterport конфигурационного файла /etc/dansguardian/dansguardian.conf и куда перенаправляется трафик в последнем правиле (# Заворачиваем http на прокси) в /etc/nat. В случае необходимости исправляем, перезагружаемся и проверяем работу системы. Если все работает нормально можно переходить к следующему этапу.

Установим HAVP:

sudo apt-get install havp

HAVP по умолчанию настроен на работу с ClamAV и практически не требует настройки. В первую очередь ограничим только локальными соединениями, это необходимо для того, чтобы клиенты не могли подключаться напрямую к HAVP, явно указав его порт. Для этого в /etc/havp/havp.config найдите и раскомментируйте следующую опцию:

BIND_ADDRESS 127.0.0.1

Также раскомментируйте и измените указанным образом опцию:

TEMPLATEPATH /etc/havp/templates/ru

Это позволит выводить страницы ошибок и сообщений о найденных вирусах на русском языке. Также может потребоваться изменить опцию PORT. По умолчанию HAVP работает на порту 8080, что не всегда приемлемо, данный порт часто бывает занят другими программами (например DansGuardian). Перезапускаем HAVP:

sudo /etc/init.d/havp restart

Теперь настроим Squid на использование вышестоящего прокси и сканирование только HTTP трафика. В конец файла /etc/squid/squid.conf добавляем следующие строки:

cache_peer 127.0.0.1 parent 8080 0 no-query no-digest no-netdb-exchange default

cache_peer_access 127.0.0.1 allow all

acl Scan_HTTP proto HTTP

never_direct allow Scan_HTTP

Перезапускаем Squid:

sudo /etc/init.d/squid restart

Теперь с клиентского ПК заходим на эту страничку и пробуем скачать тестовый вирус (не опасен, представляет собой специальную сигнатуру для проверки антивирусного ПО). Если все настроено правильно мы должны увидеть следующую страничку:



Рисунок 3.6 результат блокировки страницы с вирусом.



Заключение

Проведенное исследование позволяет сделать вывод, что огромное количество сетей объединено посредством Интернет, и для безопасной работы такой огромной системы необходимо принимать определенные меры безопасности, поскольку практически с любого компьютера можно получить доступ к сети любой организации, причем опасность значительно возрастает по той причине, что для взлома компьютера к нему вовсе не требуется физического доступа.

В целом доступ к нежелательным ресурсам несет следующие угрозы: пропаганду противоправных и асоциальных действий, таких как: политический экстремизм, терроризм, наркомания, распространение порнографии и других материалов; отвлечение учащихся от использования компьютерных сетей в образовательных целях; затруднение доступа в Интернет из-за перегрузки внешних каналов, имеющих ограниченную пропускную способность. Перечисленные выше ресурсы часто используются для внедрения вредоносных программ с сопутствующими им угрозами .

На основе выполненного анализа можно утверждать, что одним из решений проблем фильтрации нежелательного контента в сети Интернет является применение прокси-серверов с контент-фильтром.

Проведенные исследования подтвердили, что прокси с контент фильтром - программная - аппаратная система, находящаяся в точке соединения внутренней сети организации и Интернет, осуществляющая контроль передачи данных между сетями.

В рамках дипломной работы были рассмотрены проблемы информационной безопасности и организация защиты компьютерной сети.

Выполнены следующие задачи:

Во первых, рассмотрены проблемы информационной безопасности образовательной организации, такие как атаки системы вредоносным программным обеспечением, таким как черви, вирусы, трояны, рекламные и шпионские программы, программы-маскировщики, различные программы с сомнительной безопасностью и прямы Dos - атаки на сеть.

Во вторых, были проанализированы наиболее популярные кэширующие прокси-севера HandyCache и Squid, на основе анализа для внедрения в сеть образовательного учреждения был выбран прокси-сервер Squid, оснащенный дополнительно антивирусной защитой и контент-фильтром.

В третьих, произведено внедрение в локальную вычислительную сеть образовательной организации кэширующего прокси-сервера Squid с контент-фильтром DansGuardian и приложением HAVP, дополненный антивирусной защитой ClamAV.

Внедрение в локальную вычислительную сеть образовательной организации кэширующего прокси-сервера с антивирусной защитой

Практическая значимость проделанной работы заключается в приобретении практических навыков по анализу проблем информационной безопасности в компьютерной сети образовательной организации и внедрению в ЛВС кэширующего прокси-сервера с антивирусной защитой и контент-фильтром

На основании вышеизложенного можно считать, что цель дипломной работы достигнута.



Список использованной литературы

Биячуев Т.А. Безопасность корпоративных сетей. «Вильямс» Спб., 2016

Воротницкий Ю. И. Защита от доступа к нежелательным внешним информационным ресурсам в научно-образовательных компьютерных сетях «ДМК», 2016;.

Воротницкий Ю. И. Принципы обеспечения безопасности образовательных информационных сетей, «ДМК», 2016.

Домарев В.В.«Безопасность информационных технологий. Системный подход» «Вильямс», 2015;

Ефименко В. К. Прокси-серверы. «ИНТУИТ», М., 2017;

Заняла Ю.С.Защита информации в обучающих системах, «Вильямс» 2017;

Зима В. М. Безопасность глобальных сетевых технологий, «ДМК», 2015.г

Маслов М. Ю. Автоматическая классификация веб-сайтов «Вильямс» 2017;

Хилл Б. В. Решения для фильтрации Web-контента, 2017;

Химка С. С. Разработка моделей и методов для создания системы информационной безопасности корпоративной сети предприятия с учетом различных критериев. «Вильямс», 2015;

«Проблемы информационной безопасности»,[текст], статья «фильтрация контента», журнал «Проблемы информационной безопасности», ноябрь 2017;

«Хакер», [текст], статья «прокси-серверы», журнал «Хакер», апрель 2015;

Микроадмин [Электронный ресурс]: веб-форум. режим доступа к сайту: http://macrodmin.ru/2012/10/3proxy-nastrojka-proksi-servera-v-windowsu

Хабрахабр [Электронный ресурс]: веб-форум режим доступа к сайту: https://habrahabr.ru/post/188444/

Хакер [Электронный ресурс]: инф. тех. журн. /Электрон. журн. - режим доступа к журн.:https://xakep.ru/2016/12/09/54255/

Проспециалист [Электронный ресурс]: инф. сайт. - режим доступа: http://vasenin.org/pro-specialist/articles/76-squid-pod-windows-install.htmlg

Настройка контент-фильтра [Электронный ресурс]: инф. сайт. - режим доступа:https://interface31.ru/tech_it/2017/03/ubuntu-server-nastraivaem-kontent-fil-tr-routera-dansguardian.html

Роскомнадзор - сайты, доступ к которым заблокирован в соответствии с федеральным законом № «О защите детей от информации, причиняющей вред их здоровью и развитию» от 29.12.2010 N 436-ФЗ. Режим доступа: https://rkn.gov.ru

Размещено на Allbest.ru

...