3.2 Прокси-серверы

Прокси-серверы для защиты при работе в Интернете, функции прокси-серверов, ICS (Internet Connection Sharing), служба NAT (Network Address Translation), сервер ISA (Internet Security and Acceleration), SQUID, Kerio Winroute Firewall, WinGate

Основное назначение прокси-сервера - это обеспечение трансляции сетевых адресов, например, когда при помощи одного public IP в Интернет может ходить вся сеть с private IP (10.x.x.x, 172.16.x.x-172.31.x.x, 192.168.x.x). Прокси-сервер при прохождении пакета через него меняет в этом пакете IP-адрес и номер порта (а при получении ответного пакета производит те же операции в обратном направлении). Однако, помимо этой базовой функции, прокси-серверы обычно предлагают еще и множество других:

·        управление разрешениями. Можно определить, каким пользователям/в какое время/по каким протоколам/к каким Web-ресурсам/в каком объеме можно выходить в Интернет;

·        кэширование - за счет кэширования страниц на прокси-сервере снижается трафик работы в Интернет и происходит ускорение доступа пользователей;

·        протоколирования работы в Интернете. Обычно обращения пользователей в Интернет протоколируются и на основе логов делаются отчеты, которые позволяют например, выяснить, какой из пользователей как поучаствовал в трафике;

·        фильтрации трафика - например, режутся баннерные сети, спам-трафик по SMTP и т.п.

·        часто в прокси-сервер встраиваются дополнительные возможности, например, брандмауэров, средств обнаружения вторжений и т.п.

Как правило, в настоящее время на предприятии практического любого размера сейчас используются прокси-серверы для выхода в Интернет. Несколько слов относительно самых распространенных решений:

·        самое простое решение, которое встроено во все версии Windows (и серверные, и клиентские), начиная с Windows 98 SE - это применение Internet Connection Sharing. Это решение самое простое, но и наименее функциональное. Оно предназначено для совсем крохотных сетей и практически не поддерживает никаких функции, кроме прямого - преобразования сетевых адресов. Работать умеет только с внутренней сетью с IP-адресами 192.168.0.x, а также автоматически выполняет роль DHCP-сервера, раздающего адреса из этой сети. Как правило, администраторов больше волнует вопрос - как полностью запретить использование ICS на компьютерах пользователей (чтобы не мог появиться альтернативный сервер DHCP), чем вопросы его установки и настройки. (Обычно такое запрещение производится при помощи групповых политик). Многие администраторы считают, что ICS - вообще неработоспособное средство из-за проблем с DNS и соединениями по HTTPS;

·        другое решение, встроенное в Windows (только серверные версии Windows 2000 и 2003) - это служба Network Address Translation (NAT), которая устанавливается и настраивается как компонент Routing and Remote Access Server. Это уже более работоспособное решение, однако функциональность его минимальна - не поддерживаются кэширование, разрешения для пользователей и групп, протоколирование и т.п. Тем не менее по причине простоты и малых требований к ресурсам этот продукт активно используется на предприятиях с 10-20 компьютерами;

·        наиболее мощное решение от Microsoft - ISA Server 2004 Enterprise Edition. Именно этим средством пользуются на большинстве крупных и средних предприятий (в частности, в Санкт-Петербурге - в Промстройбанке, Сбербанке, Центробанке, КНОС и т.п.). К преимуществам ISA Server можно отнести:

o       масштабируемость и корпоративные возможности (работа в массивах серверов, совместное использование кэшей и т.п.)

o       полная интеграция со средствами аутентификации Windows (практически только в ISA Server вы можете назначить права на выход в Интернет пользователям и группам Windows без необходимости установки дополнительных клиентов аутентификации);

o       большое количество программных расширений (в основном третьих фирм), которые позволяют реализовать большое количество дополнительных функций (например, ограничить количество трафика, которое пользователь может скачать в течение дня), специализированные антивирусные пакеты и т.п.

o       стандартные преимущества продуктов Microsoft - интеграция с операционными системами Windows, доступная документация и база знаний, возможность получения поддержки и т.п.

К недостаткам можно отнести дороговизну ISA, большую ресурсоемкость (рекомендовано 512 Мбайт оперативной памяти и RAID-массив под файл кэша), недостаточность средств защиты (обычно вместе с ISA используются дополнительные брандмауэры и системы обнаружения проникновений).

·        возможно, самое распространенный прокси-сервер по числу инсталляций в мире - это SQUID, практически стандартный прокси-сервер для Unix-систем. Он менее ресурсоемок и считается более надежным и защищенным, чем ISA Server, однако защищенную аутентификацию стандартными средствами Windows не поддерживает. Поскольку в этом курсе рассматриваются только сети Windows, то SQUID рассматриваться не будет, однако заметим, что во многих фирмах SQUID работает вместе с ISA - SQUID стоит на входе в локальную сеть предприятия, а ISA - за ним и обеспечивает раздачу разрешений пользователям и протоколирование по пользователям;

·        из прокси-серверов третьих фирм под Windows к наиболее распространенным продуктам можно отнести WinGate фирмы Qbik и WinRoute фирмы Kerio (сейчас сведен в один продукт с Kerio Firewall и переименован в Kerio WinRoute Firewall). Оба этих продукта (а также большое количество других прокси-серверов) находятся в каталоге Proxy на компакт-диске.

В нашем курсе будет рассматриваться Kerio Winroute Firewall. Он не требует обязательного наличия домена, как ISA Server, умеет (в отличие от ISA Server) выдавать квоты пользователям по трафику на день и месяц, пользователи при помощи него могут самостоятельно смотреть свою статистику и остаток трафика и т.п.

Помимо прокси-серверов, которые устанавливаются на предприятии и используются для обеспечения выхода пользователей в Интернет, иногда также используются еще два вида прокси-серверов:

·        прокси-сервер провайдера, через которого производится выход в Интернет. Использование прокси-сервера провайдера часто позволяет повысить скорость работы в Интернете (особенно на ненадежных каналах) за счет предварительного кэширования данных у провайдера. Прокси-сервер, через который можно работать, есть практически у всех провайдеров и иногда есть смысл протестировать, не ускорится ли работа при его применении. Информацию о его IP-адресе, портах, поддерживаемых протоколах нужно получать у провайдера.

·        внешние анонимные прокси-серверы (как платные, так и бесплатные). Они обычно предназначены для сокрытия информации о пользователе, который выходит в Интернет. Для обеспечения дополнительной безопасности работа в Интернете может осуществляться через цепочку прокси-серверов. Плата за анонимность - низкая надежность работы таких серверов и существенный проигрыш в скорости. Получить список бесплатных прокси-серверов можно на странице http://www.spszone.com/anguest/proxy_links.htm. Кроме того, существуют утилиты, которые позволяют автоматически скачивать из Интернета списки анонимных прокси-серверов, проверять их работоспособность и настраивать приложения на работу с ними. К таким утилитам относятся, например, AiS Alive Proxy, Anonimous Guest, GetAnonymous, ProxyChecker, ProxyHunter и т.п. (все они имеются на компакт-диске в каталоге Proxy).

Применение прокси настолько удобно, что иногда прокси-сервер создается даже в том случае, если выход в Интернет производит только один компьютер (домашний). В этом случае прокси-сервер организуется прямо на этом компьютере, а все программы, которым нужен в Интернет, выходят через этот прокси (обращаясь обычно к IP-адресу 127.0.0.1). Специализированные программы, которые позволяют создавать такой "локальный" прокси-сервер - например, MyProxy и GetAnonymous. Причина применения таких программ - возможность управления кэшированием, повышение защищенности, фильтрация трафика и т.п. Однако задачи повышения уровня безопасности соединения лучше решать при помощи брандмауэров, которые будут рассмотрены в следующем модуле.

Прокси настолько распространены, что трудно представить себе корпоративную сеть, которая работает в Интернете без прокси-сервера. Однако при этом часто возникают проблемы, когда из прокси-сервера открыт выход только через некоторые порты (например, только TCP 80 и UDP 53), а приложение (Web-телефония, средства обмена сообщениями, средства удаленного администрирования и т.п.) требует взаимодействия через другие порты. Менять конфигурацию часто сложно (например, когда есть утвержденная корпоративная политика или когда нет возможности открыть порты этого приложения, про причине того, что они выбираются динамически). В этой ситуации можно использовать утилиты туннелирования трафика приложения через прокси-сервер. Самые распространенные утилиты - HTTPPort для туннелирования через HTTP-прокси (полностью бесплатная, поставляется с SDK для интеграции в другие приложения) и SocksCap - для туннелирования через Socks-прокси (также бесплатная).

Получить учебные материалы по этому курсу