Сегодня использование Интернет-ресурсов является неотъемлемой частью большинства бизнес-процессов. Это глобальная справочно-информационная система, способ доступа к технологиям, транспорт для передачи данных, и, наконец, оперативное и доступное средство коммуникации.

Поскольку Интернет является каналом во внешний мир, он стал источником опасности для бизнеса компании. Именно с его помощью сегодня распространяются не только черви, вирусы и прочее вредоносное ПО, а также происходят утечки конфиденциальных данных за пределы организации.

Еще одной из угроз является ненадлежащее использование Интернет на рабочем месте. Сотрудники могут использовать корпоративный Интернет-канал для онлайн-игр, посещения развлекательных сайтов, социальных сетей и т.д., что может повлечь не только нецелевое расходование ресурсов компании, но и нарушить пропускную способность сети и систем хранения, тем самым создавая риск для безопасности и нормального функционирования бизнеса.

Для предотвращения заражения компьютеров внутри сети и контроля за использованием Интернет-ресурсов существует огромное количество программных комплексов разных производителей, таких как Trend Micro InterScan Web Security Suite (IWSS), Kerio WinRoute Firewall, WebSence WebSecurity Suit, и многие другие. Однако эти продукты являются платными, соответственно требуют покупки и продления. При этом зачастую приходится платить не только за использование самого продукта, но и за операционную систему, на платформе которой будет развернут защитный комплекс.

К сожалению, на сегодняшний день большинство системных администраторов не хотят или не могут полноценно использовать возможности Open Source решений, предпочитая закупать и разворачивать исключительно коммерческие системы.

Хотелось бы еще раз по пунктам сформулировать задачи, которые стоят перед системой контроля трафика на корпоративном шлюзе:

1. Проверка трафика на вирусы
2. Блокирование доступа к неблагонадежным и нежелательным веб-ресурсам
3. Блокирование рекламных баннеров
4. Блокирование трафика, запрещенного в сети
5. Просмотр статистики использования Интернет

Рис.: Схема работы шлюза



Сейчас все эти задачи можно решать при помощи продуктов Open Source. При этом есть возможность использовать как исключительно бесплатные решения, так и коммерческие, и, кроме этого, модульно подключать проприетарные коммерческие программы.

В качестве примера можно рассмотреть работающую связку Open Source решений.

В качестве корпоративного шлюза в Интернет используется сервер на базе Debian GNU Linux с установленными на нем DansGuardian, L7-Filter, ClamAV и Sarg. На этом сервере DansGuardian отвечает за контентную фильтрацию трафика и блокировку нежелательных сайтов. Базы ключевых слов на различных языках позволяют фильтровать доступ к сайтам по их категориям. Продукт имеет возможность блокирования интернет-рекламы (баннеров), а также использования черных и белых списков URL адресов, самостоятельно формируемых администратором.
Для уменьшения нагрузки на сервер к DansGuardian можно приобрести постоянно обновляющуюся базу классификационных списков сайтов, что позволит избежать необходимость проверки контента сайта и блокировать ресурс непосредственно по его имени. В DansGuardian также предусмотрена защита от подмены доменного имени сайта его IP-адресом.
К DansGuardian есть возможность подключить антивирус. При этом у системного администратора открывается очень широкий выбор - использовать стандартный для Linux открытый и бесплатный антивирус ClamAV или возможность установить решение другого вендора. Так же с помощью DansGuardian можно ограничивать загрузку файлов по расширениям или mime-типам.
Для просмотра статистики используется Sarg. Статистика выводится через веб-консоль и группируется по временным интервалам. Так же имеется возможность просмотра статистики отдельно по пользователю, списку заблокированных загрузок и т.д.
Для контроля трафика на уровне протоколов используется модуль L7-Filter. Он подключается к стандартному в Linux пакетному фильтру IPTables и может отслеживать и блокировать большое количество разнообразных протоколов, например AIM, GoogleTalk, worldofwarkraft, imap, pop3 и многие другие.

При использовании L7-Filter у администратора появляется возможность максимально гибкого управления доступа пользователей к сети, например, запретить выход в Интернет онлайн-игр и Skype, но при этом разрешить пользоваться ICQ. Загрузку файлов различного типа можно блокировать и на этом уровне тоже. При этом уже не будет иметь значение, какое расширение имеет файл и какой mime-тип присвоил ему сервер. При закачке файла будет проверена сигнатура и, в случае совпадения, файл заблокируется после загрузки первого же килобайта.

Открытое программное обеспечение развивается и наращивает функционал очень быстрыми темпами. На примере данного комплекса программ показано, что организовать защиту с использованием только OpenSource продуктов вполне реально. Главным препятствием на этом пути является консервативность системных администраторов и начальства IT-служб, а так же незнание возможностей открытых программ.

Подробно о продуктах: http://dansguardian.org/ , http://l7-filter.sourceforge.net /,
http://www.clamav.net /, http://sarg.sourceforge.net