Информационная безопасность сети. Часть IV: Доступ в интернет

Продолжаем наш цикл статей по обеспечению безопасности сети. Сегодняшняя статья посвящена обеспечению доступа к ресурсам сети интернет из корпоративной сети.

Сегодня сложно представить работу практически любой организации без наличия доступа к интернет ресурсам и даже тут при организации необходим грамотный подход.

Как должен быть организован доступ?
Для обеспечения достаточно безопасного доступа к ресурсам сети интернет необходимо использовать прокси сервер, не каких NAT-ов все подключения должны осуществлять только через прокси с авторизацией на уровне домена или с использованием связки логин и пароль.

Как минимум это необходимо для контроля пользователей в один прекрасный момент Ваш руководитель может попросить отчет по каждому из пользователей или конкретному сотруднику, если у Вас будет данная информация не будет необходимости в срочном порядке разворачивать данную инфраструктуру (Особенно это касается небольших организаций использующие для доступа в интернет обычный модем, который не ведет какую либо статистику).

Почему не следует использовать NAT?
Если пользователь все же словит вирус, это может создать нагрузку на канал интернет (особенно если у вас безлимитный тариф, канал интерента просто забьется в ином случае затраты на использование интернета возрастут).
Большинство вирусов просто не умеют использовать прокси серверы (они ориентированы на домашних пользователей) и просто создадут большую нагрузку на зараженный ПК, а это уже упростит возможность обнаружения угрозы.

Какие порты должны быть открыты?
Для обычного пользователя достаточно обеспечить доступ только на два порта 80 и 443 исключения могут быть только некоторые бухгалтерские программы или софт, но нельзя делать глобальных правил, если конкретному пользователю необходимо доступ к примеру на порт 7777, то доступ предоставляется только для него (мы же авторизуем только конкретного пользователя).

Я бы еще рекомендовал устанавливать прокси сервер с встроенным антивирусов, отличным от используемого в организации для обсечения более высокого уровня защищенности предприятия, любой антивирус может пропустить угрозу, но когда их несколько вероятность заражения уменьшается.

Для выполнения этой задачи можно использваоть следующие решения:
Прокси-сервер UserGate Proxy & Firewall 5.X — Легкий в настройки и интеграции. полнофункциональное решение, позволяющее администратору с помощью гибкой системы правил организовать работу пользователей локальной сети в Интернет. Имеет встроенный межсетевой экран (firewall), port mapping, биллинговую систему и систему интернет-статистики. Встроенные антвиирусные движки обеспечивают довольно не плохой уровень защиты.

WinGate 7 — То же удобный в настройке прокси-сервер с функциями почтового сервера и брандмауэра, позволяющий подключить к Интернет несколько компьютеров, объединённых в локальную сеть, используя один модем и сетевую плату или IP адрес. WinGate содержет брэндмауэр, почтовый (SMTP/POP3) сервер, прокси-сервер, DNS сервер и DHCP сервер. Поддерживаются NAT (Network Address Translation), GDP (Gateway Discovery Protocol), WRP (Winsock Redirect Protocol) и RTSP (Real Time Streaming Protocol) протоколы. Программа имеет гибкие настройки, позволяющие администраторам создавать необходимые правила работы и фильтры. WinGate Умеет работать с плагинами, вести логи и мониторинг трафика

Traffic Inspector — комплексное решение для организации доступа в Интернет, не требующее дорогостоящего оборудования, обеспечивающее учет, сетевую защиту, экономию трафика и рабочего времени, детальную статистику, управление загрузкой каналов и удаленный контроль. Поддерживает различные антивирусы в виде плагинов.

 

Автор: Дата: , Категория:Безопасность, Метки: , .

Comments are closed.