Принципы контентной фильтрации

КОМИТЕТ ОБРАЗОВАНИЯ И НАУКИ ВОЛГОГРАДСКОЙ ОБЛАСТИ

ГОСУДАРСТВЕННОЕ БЮДЖЕТНОЕ ПРОФЕССИОНАЛЬНОЕ ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ «КОТОВСКИЙ ПРОМЫШЛЕННО-ЭКОНОМИЧЕСКИЙ ТЕХНИКУМ»

(ГБПОУ «КОТОВСКИЙ ПРОМЫШЛЕННО-ЭКОНОМИЧЕСКИЙ ТЕХНИКУМ»)

Специальность 230111 «Компьютерные сети» в рамках укрупненной группы направлений подготовки и специальностей 230000 «Информатика и вычислительная техника»

«ВЫПУСКНАЯ КВАЛИФИКАЦИОННАЯ РАБОТА ДОПУЩЕНА К ЗАЩИТЕ»

Зам. директора по УР______ З.Ф. Дьякова

«___» ______________ 2017г.

 

ДИПЛОМНАЯ РАБОТА

Внедрение в локальную вычислительную сеть образовательной организации кэширующего прокси-сервера с антивирусной защитой

Выполнил студент		Д.А.Матюшенко
	подпись, дата
Руководитель работы преподаватель		А.С..Пятаченко
	подпись, дата

 

Котово 2017

КОМИТЕТ ОБРАЗОВАНИЯ И НАУКИ ВОЛГОГРАДСКОЙ ОБЛАСТИ

ГОСУДАРСТВЕННОЕ БЮДЖЕТНОЕ ПРОФЕССИОНАЛЬНОЕ ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ

«КОТОВСКИЙ ПРОМЫШЛЕННО-ЭКОНОМИЧЕСКИЙ ТЕХНИКУМ»

(ГБПОУ «Котовский-промышленно-экономический техникум»)

Специальность 230111 «Компьютерные сети»

в рамках укрупненной группы направления и подготовки специальностей

230000 Информатика и вычислительная техника

 

УТВЕРЖДАЮ

Зам.директора по УР______ З.Ф. Дьякова

«___» ______________ 2017 г.

 

 

ЗАДАНИЕ

на выполнение дипломной работы техника по компьютерным сетям

 

 

Студенту _______________________ Матюшенко Денису Александровичу__________________

(фамилия, имя, отчество в дат. падеже)

 

Тема работы:	Создание единого кэширующего прокси-сервера с антивирусной защитой для фильтрации трафика и защиты ЛВС образовательного учреждения
Содержание теоретической части:	1. Проблемы информационной безопасности образовательной организации. 2. Теоретическое обоснование предметной области. 3. Внедрение в локальную вычислительную сеть образовательной организации кэширующего прокси-сервера с антивирусной защитой
Практическоезадание:	Установка и настройка серверной и клиентской части кэширующего прокси-сервера с антивирусной защитой
Перечень графического материала	1. Характеристики программ для организации прокси-сервера в локальной сети 2. Схема сети Котовской специальной (коррекционной) школы интернат
Консультанты:	по программному обеспечению: А.И. Давид по безопасности жизнедеятельности: преп. Н.Н. Медведев; по применению вычислительной техники: преп. Л.В. Трунова.
Сроки законченной работы:	08.06.2017 г.

 

Дата выдачи задания «___»___________»____г. Руководитель _________/ Пятаченко А.С./

^{(подпись)}

Задание принято к выполнению ____________ ________________ / Матюшенко Д.А. /

^{(дата) (подпись)}

 

 

РЕФЕРАТ

Работа 72 с., 3 ч., 8 рис., 3 табл., 20 источников.

ПРОКСИ-СЕРВЕР SQUID, LOIC, КОНТЕНТ-ФИЛЬТР DANSGUARDIAN OPENSOLARIS, АНТИВИРУСНАЯ ПРОГРАММА CLAMAV.

Объектом исследования является внедрение кэширующего прокси-сервера в образовательное учреждение МБОУ СШ №5.

Цель работы – внедрение в локальную вычислительную сеть образовательной организации кэширующего прокси-сервера с использованием операционной системы контент-фильтра DansGuardian, и антивирусного средства ClamAV.

В процессе работы был произведен анализ программного обеспечения образовательного учреждения МБОУ СШ №5 и настроен прокси-сервер с использованием контент-фильтра DansGuardian.

 

 

СОДЕРЖАНИЕ:

 

ВВЕДЕНИЕ. 6

Проблемы информационной безопасности образовательной организации. 9

Обзор угроз. 9

Виды DoS-атак. 12

Организация фильтрования контента в образовательном учреждении. 16

Варианты фильтрации контента. 17

Принципы контентной фильтрации. 18

ТЕОРЕТИЧЕСКОЕ ОБОСНОВАНИЕ ПРЕДМЕТНОЙ ОБЛАСТИ.. 19

Что такое прокси-сервер. 19

Применение прокси-серверов. 20

HandyCache. 23

Возможности программы HandyCache. 23

Условия использования. 25

Squid. 27

Описание архитектуры.. 28

Редиректоры Squid. 30

Ограничение максимальной скорости соединения. 32

Обратное кэширование. 33

Режим прозрачного прокси-сервера. 33

Внедрение в локальную вычислительную сеть образовательной организации кэширующего прокси-сервера Squid с антивирусной защитой ClamAV и фильтром Dansguardian. 35

Информация об объекте внедрения. 35

Аппаратное и программное обеспечение компьютерной сети организации. 35

Внедрение прокси-сервера Squid с антивирусом ClanAV и фильтром Dasnguardian. 38

Настройка Squid. 38

Раздача Интернета в локальную сеть (ICS: Internet Connection Sharing) 43

Настройка роутера (NAT с DHCP и Squid) 45

Настраиваем кэширующий прокси-сервер Squid. 49

DansGuardian. Настраиваем контент-фильтр роутера. 50

Дополняем контент-фильтр роутера антивирусом ClamAV. 58

Взаимодействие DansGuardian с антивирусом ClamAV.. 58

Дополняем DansGuardian приложением HAVP. 58

ЗАКЛЮЧЕНИЕ. 61

Список использованной литературы. 63

 

Введение

Современные интеллектуальные обучающие системы являются Web-ориентированными и предусматривают для своих пользователей возможность работы с различными видами локальных и удаленных образовательных ресурсов. Проблема безопасного использования информационных ресурсов (ИР), размещенных в сети Интернет, постоянно приобретает все большую актуальность. Одним из методов, используемых при решении данной проблемы, является ограничение доступа к нежелательным информационным ресурсам.

Операторы, предоставляющие доступ в Интернет образовательным учреждениям, обязаны обеспечить ограничение доступа к нежелательным ИР. Ограничение осуществляется путем фильтрации операторами по спискам, регулярно обновляемым в установленном порядке. Однако, учитывая назначение и пользовательскую аудиторию образовательных сетей, целесообразно использовать более гибкую систему, которая позволит динамически распознавать нежелательные ресурсы и ограждать от них пользователей.

В целом доступ к нежелательным ресурсам несет следующие угрозы: пропаганду противоправных и асоциальных действий, таких как: политический экстремизм, терроризм, наркомания, распространение порнографии и других материалов; отвлечение учащихся от использования компьютерных сетей в образовательных целях; затруднение доступа в Интернет из-за перегрузки внешних каналов, имеющих ограниченную пропускную способность. Перечисленные выше ресурсы часто используются для внедрения вредоносных программ с сопутствующими им угрозами.

Существующие системы ограничения доступа к сетевым ресурсам имеют возможность проверять на соответствие заданным ограничениям не только отдельные пакеты, но и их содержимое – контент, передаваемый через сеть. В настоящее время в системах контентной фильтрации применяются следующие методы фильтрации web-контента: по имени DNS или конкретному IP-адресу, по ключевым словам внутри web-контента и по типу файла. Чтобы блокировать доступ к определенному web-узлу или группе узлов, необходимо задать множество URL, контент которых является нежелательным. URL-фильтрация обеспечивает тщательный контроль безопасности сети. Однако нельзя предугадать заранее все возможные неприемлемые URL-адреса. Кроме того, некоторые web-узлы с сомнительным информационным наполнением работают не с URL, а исключительно с IP-адресами.

Один из путей решения задачи состоит в фильтрации контента, получаемого по протоколу HTTP. Недостатком существующих систем контентной фильтрации является использование списков разграничения доступа, формируемых статически. Для их наполнения разработчики коммерческих систем контентной фильтрации нанимают сотрудников, которые делят контент на категории и составляют рейтинг записей в базе данных.

Указанная проблема и ее большая практическая значимость, заключенная в достижении высоких требованиях к безопасности определили тему исследования: «Внедрение в локальную вычислительную сеть образовательной организации кэширующего прокси-сервера с антивирусной защитой»

Цель исследования: проанализировать проблемы фильтрации безопасного контента в компьютерной сети образовательной организации с дополнительной антивирусной защитой.

Гипотеза: Возможность выбора и настройки прокси-сервера для выполнения фильтрации нежелательного контента в образовательной организации.

Объект исследования: компьютерная сеть образовательной организации.

Предмет исследования: проблемы информационной безопасности образовательной организации.

Задачи:

1. Проблемы информационной безопасности образовательной организации.

2. Теоретическое обоснование предметной области.

3. Внедрение в локальную вычислительную сеть образовательной организации кэширующего прокси-сервера с антивирусной защитой.

Теоретическая значимость: Освоение и систематизация учебного и информационного материала по данной теме.

Практическая значимость: Приобретение практических навыков в анализе проблем информационной безопасности в компьютерной сети образовательной организации.

Методы исследования: Изучение и анализ теоретического материала, интернет – источников.

 

1 Проблемы информационной безопасности образовательной организации

В настоящее время существует огромное количество угроз, которым может подвергнуться компьютер.

Обзор угроз

Черви (Worms). - это категория вредоносных программ для распространения использует в основном уязвимости операционных систем. Название этого класса было дано исходя из способности червей «переползать" с компьютера на компьютер, используя сети, электронную почту и другие информационные каналы. Также благодаря этому многие черви обладают достаточно высокой скоростью распространения.

Черви проникают на компьютер, вычисляют сетевые адреса других компьютеров и рассылают по этим адресам свои копии. Помимо сетевых адресов часто используются данные адресной книги почтовых клиентов. Представители этого класса вредоносных программ иногда создают рабочие файлы на дисках системы, но могут вообще не обращаться к ресурсам компьютера (за исключением оперативной памяти). Недавний Wanna Cry – пример именно сетевого червя-вымогателя.

Вирусы (Viruses) - это программы, которые заражают другие программы – добавляют в них свой код, чтобы получить управление при запуске зараженных файлов. Это простое определение дает возможность выявить основное действие, выполняемое вирусом – заражение.

Троянские программы (Trojans) – это программы, которые выполняют на поражаемых компьютерах несанкционированные пользователем действия, т.е. в зависимости от каких-либо условий уничтожают информацию на дисках, приводят систему к "зависанию", воруют конфиденциальную информацию и т.д.

Данный класс вредоносных программ не является вирусом в традиционном понимании этого термина (т.е. не заражает другие программы или данные); троянские программы не способны самостоятельно проникать на компьютеры и распространяются злоумышленниками под видом "полезного" программного обеспечения. При этом вред, наносимый ими, может во много раз превышать потери от традиционной вирусной атаки.

В последнее время наиболее распространенными типами вредоносных программ, портящими компьютерные данные, стали черви. Далее по распространенности следуют вирусы и троянские программы. Некоторые вредоносные программы совмещают в себе характеристики двух или даже трех из перечисленных выше классов.

Программы-рекламы (Adware) это программный код, без ведома пользователя включенный в программное обеспечение с целью демонстрации рекламных объявлений. Как правило, программы-рекламы встроены в программное обеспечение, распространяющееся бесплатно. Реклама располагается в рабочем интерфейсе. Зачастую данные программы также собирают и переправляют своему разработчику персональную информацию о пользователе, изменяют различные параметры браузера (стартовые и поисковые страницы, уровни безопасности и т.д.), а также создают неконтролируемый пользователем трафик. Все это может привести как к нарушению политики безопасности, так и к прямым финансовым потерям.

Программы-шпионы (Spyware) – это программное обеспечение, позволяющее собирать сведения об отдельно взятом пользователе или организации без их ведома. О наличии программ-шпионов на своем компьютере вы можете и не догадываться. Как правило, целью программ-шпионов является:

– отслеживание действий пользователя на компьютере;

– сбор информации о содержании жесткого диска; в этом случает чаще всего речь идет о сканировании некоторых каталогов и системного реестра с целью составления списка программного обеспечения, установленного на компьютере;

- сбор информации о качестве связи, способе подключения, скорости модема и т.д.

Потенциально опасные приложения (Riskware) – это программное обеспечение, которое не имеет какой-либо вредоносной функции, но может быть использовано злоумышленниками в качестве вспомогательных компонентов вредоносной программы, поскольку содержит бреши и ошибки. При некоторых условиях наличие таких программ на компьютере подвергает ваши данные риску. К таким программам относятся, например, некоторые утилиты удаленного администрирования, программы автоматического переключения раскладки клавиатуры, IRC-клиенты, FTP-сервера, всевозможные утилиты для остановки процессов или скрытия их работы.

Еще одним видом вредоносных программ, являющимся пограничным для таких программ как Adware, Spyware и Riskware, являются программы, встраивающиеся в установленный на компьютере браузер и перенаправляющие трафик. Наверняка вы встречались с подобными программами, если при запросе одного адреса веб-сайта открывался совсем другой.

Программы-шутки (Jokes) – это программное обеспечение, не причиняющее компьютеру какого-либо прямого вреда, но выводящее сообщения о том, что такой вред уже причинен, либо будет причинен при каких-либо условиях. Такие программы часто предупреждают пользователя о несуществующей опасности, например, выводят сообщения о форматировании диска, обнаруживают вирусы в незараженных файлах и т.д.

Программы-маскировщики (Rootkit) – это утилиты, используемые для сокрытия вредоносной активности. Они маскируют вредоносные программы, чтобы избежать их обнаружения антивирусными программами. Программы-маскировщики модифицируют операционную систему на компьютере и заменять основные ее функции, чтобы скрыть свое собственное присутствие и действия, которые предпринимает злоумышленник на зараженном компьютере.

Опасные угрозы компьютерной сети это программы, созданные для организации DoS-атак на удаленные сервера, взлома других компьютеров, а также являющиеся частью среды разработки вредоносного программного обеспечения. К таким программам относятся хакерские утилиты (Hack Tools), конструкторы вирусов, сканеры уязвимостей, программы для взлома паролей, прочие виды программ для взлома сетевых ресурсов или проникновения в атакуемую систему.

DoS-атака – атака на вычислительную систему с целью довести её до отказа, то есть создание таких условий, при которых легальные (правомерные) пользователи системы не могут получить доступ к предоставляемым системой ресурсам (серверам), либо этот доступ затруднён. Отказ «вражеской» системы может быть и шагом к овладению системой. Но чаще это мера экономического давления: простои службы, приносящей доход, счета от провайдера и меры по уходу от атаки ощутимо бьют «цель» по карману.

Если атака выполняется одновременно с большого числа компьютеров, говорят о DDoS-атаке. В некоторых случаях к фактической DDoS-атаке приводит непреднамеренное действие, например, размещение на популярном Интернет-ресурсе ссылки на сайт, размещённый на не очень производительном сервере. Большой наплыв пользователей приводит к превышению допустимой нагрузки на сервер и, следовательно, отказу в обслуживании части из них.

Виды DoS-атак

Существуют различные причины, из-за которых может возникнуть DoS-условие:

- Ошибка в программном коде, приводящая к обращению к неиспользуемому фрагменту адресного пространства, выполнению недопустимой инструкции или другой необрабатываемой исключительной ситуации, когда происходит аварийное завершение программы-сервера — серверной программы.

- Недостаточная проверка данных пользователя, приводящая к бесконечному либо длительному циклу или повышенному длительному потреблению процессорных ресурсов либо выделению большого объёма оперативной памяти.

- Флуд – атака, связанная с большим количеством обычно бессмысленных или сформированных в неправильном формате запросов к компьютерной системе или сетевому оборудованию, имеющая своей целью или приведшая к отказу в работе системы из-за исчерпания системных ресурсов — процессора, памяти или каналов связи.

- Атака второго рода — атака, которая стремится вызвать ложное срабатывание системы защиты и таким образом привести к недоступности ресурса.

Если атака (обычно флуд) производится одновременно с большого количества IP-адресов — с нескольких рассредоточенных в сети компьютеров — то в этом случае она называется распределённой атакой на отказ в обслуживании (DDoS).

Основными источниками вирусов являются:

- Флоппи-диск, лазерный диск, флэш-карта или любой другой съемный носитель информации, на котором находятся зараженные вирусом файлы;

- Жесткий диск, на который попал вирус в результате работы с зараженными программами;

- Любая компьютерная сеть, в том числе локальная сеть;

- Системы электронной почты и обмена сообщениями;

- Глобальная сеть Интернет;

Виды компьютерных угроз:

- Кибервандализм. Распространение вредоносного ПО с целью повреждения данных пользователя и вывода компьютера из строя.

- Мошенничество. Распространение вредоносного ПО для получения незаконных доходов. Большинство программ используемых с этой целью позволяют злоумышленникам собирать конфиденциальную информацию и использовать ее для кражи денег у пользователей.

- Хакерские атаки. Взлом отдельных компьютеров или целых компьютерных сетей с целью кражи конфиденциальных данных или установки вредоносных программ.

- Фишинг. Создание подложных сайтов, которые являются точной копией существующих с целью кражи конфиденциальных данных при их посещении пользователями.

- Спам. Анонимные массовые рассылки электронной почты, которые засоряют электронные ящики пользователей. Как правило, используются для рекламы товаров и услуг, а так же фишинговых атак.

- Рекламное программное обеспечение. Распространение вредоносного ПО, запускающего рекламу на вашем компьютере или перенаправляющего поисковые запросы на платные веб-сайты. Нередко бывает встроено в бесплатные или условно-бесплатные программы и устанавливается на компьютер пользователя без его ведома.

- Ботнеты. Зомби-сети, состоящие из зараженных с помощью троянца компьютеров, управляемых одним хозяином и используемых для его целей.

Под угрозой безопасности понимается возможная опасность совершения какого – либо деяния, направленного против объекта защиты, наносящего ущерб собственнику или пользователю, проявляющегося в опасности искажения, раскрытия или потери информации.

Одним из самых популярных инструментов DDoS являются различные модификации программы LOIC. LOIC (акроним от англ. Low Orbit Ion Cannon — рус. Низкоорбитальное ионное орудие) — программа с открытым исходным кодом, предназначенная для осуществления DoS-атак, написанная на языке программирования C#. Первоначально разработана Praetox Technologies, но позже была распространена, как общественное достояние.

Программа выполняет распределённую атаку вида «отказ в обслуживании» путём постоянных передач на нужный веб сайт или узел TCP-, UDP-пакетов или HTTP-запросов с целью появления сбоев в работе целевого узла.

Существует также редакция программы LOIC Hive Mind, способная автоматически получать задания на атаку через IRC, RSS или Twitter, что позволяет централизованно запускать DoS-атаки с использованием вычислителей добровольцев

- программа выполняет распределённую атаку вида «отказ в обслуживании» путём постоянных передач на нужный веб сайт или узел TCP-, UDP-пакетов или HTTP-запросов с целью появления сбоев в работе целевого узла.

- Существует также редакция программы LOIC Hive Mind, способная автоматически получать задания на атаку через IRC, RSS или Twitter, что позволяет централизованно запускать DoS-атаки с использованием вычислителей добровольцев.

Реализация той или иной угрозы безопасности может преследовать следующие цели:

- нарушение конфиденциальности информации. Информация, хранимая и обрабатываемая в компьютерной сети организации (КСО), может иметь большую ценность для ее владельца. Ее использование другими лицами наносит значительный ущерб интересам владельца;

- нарушение целостности информации. Потеря целостности информации – угроза близкая к ее раскрытию. Ценная информация может быть утрачена или обесценена путем ее несанкционированного удаления или модификации. Ущерб от таких действий может быть много больше, чем при нарушении конфиденциальности;

- нарушение работоспособности КСО. Вывод из строя или некорректное изменение режимов работы компонентов КСО, их модификация или подмена могут привести к получению неверных результатов, отказу КСО от потока информации или отказам при обслуживании. Отказ от потока информации означает непризнание одной из взаимодействующих сторон факта передачи или приема сообщений. Имея в виду, что такие сообщения могут содержать важные донесения, заказы, финансовые согласования и т.п., ущерб в этом случае может быть весьма значительным.

Поэтому обеспечение информационной безопасности компьютерных систем и сетей является одним из ведущих направлений развития информационных технологий.

Компьютерные сети организации (КСО) относятся к распределенным компьютерным системам, осуществляющим автоматизированную обработку информации. Проблема обеспечения информационной безопасности является центральной для таких компьютерных систем. Обеспечение безопасности КСО предполагает организацию противодействия любому несанкционированному вторжению в процесс функционирования КСО, а также попыткам модификации, хищения, вывода из строя или разрушения ее компонентов, то есть защиту всех компонентов КСО – аппаратных средств, программного обеспечения, данных и персонала.

1.3 Организация фильтрования контента в образовательном учреждении

Интернет – это огромный кладезь самой разной информации, которую можно и нужно использовать для обучения и саморазвития. Поэтому наравне с библиотеками, в которых на полках хранятся увесистые тома разнообразной литературы и периодические издания, учащиеся активно используют для поиска ответов на вопросы интернет.

Такой контент можно разделить на две группы: запрещенный для любого возраста и нежелательный для детей и подростков. К первой группе относятся, например, детская порнография, ресурсы террористов, сайты, разжигающие расовую неприязнь, и т.п. Наличие во внутренней сети учебного заведения подобной информации может не только вызвать претензии учителя к ученикам, скачивающим запрещенный контент на рабочую станцию, но и привести к уголовному преследованию администрации, которая допускает ее хранение в школьной сети.

Ко второй группе, кроме уже упомянутых ресурсов, относятся сайты, которые учащиеся не должны посещать по возрастным ограничениям: жестокие игры, онлайновые казино, порнографические сайты, сайты, пропагандирующие насилие, сайты сексуальных меньшинств, сайты интим-услуг и интим-магазинов и т.п.

Также нежелательным может являться также контент, отвлекающий школьников от учебного процесса. Дети могут вместо выполнения учебных заданий в Сети просматривать разрешенные, но не имеющие ничего общего с учебным процессом материалы.

Еще одна проблема — это рассылка учениками по почте или размещение в Сети запрещенного контента (пиратского ПО, порнографии и т.п.). Все эти действия могут осуществляться подростками из сети образовательного учреждения при отсутствии надлежащего контроля.

И последняя проблема — это выполнение учениками ресурсоемких процедур: скачивание видеофильмов, музыки, файловых архивов, программного обеспечения, которые ведут к резкому увеличению трафика, что замедляет работу сети и увеличивает расходы на трафик.

В борьбе с нежелательным контентом применяются организационные меры (назначение ответственных лиц, режим доступа в компьютерный класс, доведение до сведения учащихся норм поведения в Сети, ответственность за противоправные действия и т.п.) и технические (фильтрация трафика, мониторинг действий учащихся).

Наличие мониторинга (даже без фильтрации) уже может стать эффективным методом защиты от проникновения в учебную сеть нежелательного контента. Если ученик будет знать, что за всеми его посещениями ведется постоянный мониторинг и все его действия записываются в log-файлах с указанием того, когда и что он посещал, то вряд ли ему захочется посещать нежелательные сайты.

Варианты фильтрации контента

Контент может фильтроваться на трех уровнях: провайдера, шлюза в Интернет защищаемой сети и клиентской станции, а также в Сети на уровне онлайновых сообществ. Например, форумы и чаты часто имеют модераторов, которые могут редактировать или удалять материал, нарушающий законы государства и правила того или иного сообщества. Однако большинство USENET-групп являются немодерируемыми.

В Сети существуют различные сервисы, предоставляющие безопасный учебный контент.

Что такое прокси-сервер.

Прокси-сервер — сервер (комплекс программ) в компьютерных сетях, позволяющий клиентам выполнять косвенные запросы к другим сетевым службам. Сначала клиент подключается к прокси-серверу и запрашивает какой-либо ресурс (например, e-mail), расположенный на другом сервере. Затем прокси-сервер либо подключается к указанному серверу и получает ресурс у него, либо возвращает ресурс из собственного кэша (в случаях, если прокси имеет свой кэш). В некоторых случаях запрос клиента или ответ сервера может быть изменён прокси-сервером в определённых целях. Прокси-сервер позволяет защищать компьютер клиента от некоторых сетевых атак и помогает сохранять анонимность клиента.

Клиентский компьютер имеет настройку (конкретной программы или операционной системы), в соответствии с которой все сетевые соединения по некоторому протоколу совершаются не на IP-адрес сервера (ресурса), выделяемый из DNS-имени ресурса, или напрямую заданный, а на IP-адрес (и другой порт) прокси-сервера.

При необходимости обращения к любому ресурсу по этому протоколу, клиентский компьютер открывает сетевое соединение с прокси-сервером (на нужном порту) и совершает обычный запрос, как если бы он обращался непосредственно к ресурсу.

Распознав данные запроса, проверив его корректность и разрешения для клиентского компьютера, прокси-сервер, не разрывая соединения, сам открывает новое сетевое соединение непосредственно с ресурсом и делает тот же самый запрос. Получив данные (или сообщение об ошибке), прокси-сервер передаёт их клиентскому компьютеру.

Таким образом прокси-сервер является полнофункциональным сервером и клиентом для каждого поддерживаемого протокола и имеет полный контроль над всеми деталями реализации этого протокола, имеет возможность применения заданных администратором политик доступа на каждом этапе работы протокола.

Прокси-серверы являются самым популярным способом выхода в Интернет из локальных сетей предприятий и организаций. Этому способствуют следующие обстоятельства:

- Основной используемый в интернете протокол — HTTP, в стандарте которого описана поддержка работы через прокси;

- Поддержка прокси большинством браузеров и операционных систем;

- Контроль доступа и учёт трафика по пользователям;

- Фильтрация трафика (интеграция прокси с антивирусами);

- Прокси-сервер — может работать с минимальными правами на любой ОС с поддержкой сети (стека TCP/IP);

- Многие приложения, использующие собственные специализированные протоколы, могут использовать HTTP как альтернативный транспорт или SOCKS-прокси как универсальный прокси, подходящий для практически любого протокола;

- Отсутствие доступа в Интернет по другим (нестандартным) протоколам может повысить безопасность в корпоративной сети.

Применение прокси-серверов.

Чаще всего прокси-серверы применяются для следующих целей:

- Обеспечение доступа компьютеров локальной сети к сети Интернет.

- Кэширование данных: если часто происходят обращения к одним и тем же внешним ресурсам, то можно держать их копию на прокси-сервере и выдавать по запросу, снижая тем самым нагрузку на канал во внешнюю сеть и ускоряя получение клиентом запрошенной информации.

- Сжатие данных: прокси-сервер загружает информацию из Интернета и передаёт информацию конечному пользователю в сжатом виде. Такие прокси-серверы используются в основном с целью экономии внешнего сетевого трафика клиента или внутреннего — компании, в которой установлен прокси-сервер.

- Защита локальной сети от внешнего доступа: например, можно настроить прокси-сервер так, что локальные компьютеры будут обращаться к внешним ресурсам только через него, а внешние компьютеры не смогут обращаться к локальным вообще (они «видят» только прокси-сервер).

- Ограничение доступа из локальной сети к внешней: например, можно запретить доступ к определённым веб-сайтам, ограничить использование интернета каким-то локальным пользователям, устанавливать квоты на трафик или полосу пропускания, фильтровать рекламу и вирусы.

- Анонимизация доступа к различным ресурсам. Прокси-сервер может скрывать сведения об источнике запроса или пользователе. В таком случае целевой сервер видит лишь информацию о прокси-сервере, например, IP-адрес, но не имеет возможности определить истинный источник запроса. Существуют также искажающие прокси-серверы, которые передают целевому серверу ложную информацию об истинном пользователе.

- Обход ограничений доступа. Прокси-серверы популярны среди пользователей стран, где доступ к некоторым ресурсам ограничен законодательно и фильтруется.

Прокси-сервер, к которому может получить доступ любой пользователь сети интернет, называется открытым.

Виды прокси-серверов

Прозрачный прокси — схема связи, при которой трафик, или его часть, перенаправляется на прокси-сервер неявно (средствами маршрутизатора). При этом клиент может использовать все преимущества прокси-сервера без дополнительных настроек браузера (или другого приложения для работы с интернетом). Пример: route -p add 10.32.5.5 mask 255.255.255.255 10.32.1.14

Обратный прокси — прокси-сервер, который в отличие от прямого, ретранслирует запросы клиентов из внешней сети на один или несколько серверов, логически расположенных во внутренней сети. Часто используется для балансировки сетевой нагрузки между несколькими веб-серверами и повышения их безопасности, играя при этом роль межсетевого экрана на прикладном уровне.

Рассмотрим некоторые решения, которые предлагают различные компании для организации такого прокси-сервера, в данной работе мы рассмотрим 2 прокси-сервера с функцией кэширования.

 

HandyCache

HandyCache — это локальный кэширующий прокси-сервер для операционной системы Windows. Основная функция программы — экономия входящего трафика и ускорение загрузки веб-страниц, а также блокировка рекламы. Работает с любыми браузерами и программами, загружающими информацию по протоколу HTTP. В версии 1.0 RC2 (1.0.0.103 unstable) добавлена работа с FTP (без возможности использования внешнего прокси).

HandyCache — проприетарная программа с закрытым кодом. Распространяется бесплатно для некоммерческого использования. Для коммерческого нужно будет купить лицензии. В связи с наличием нескольких ограничений в бесплатной версии HandyCache относится к классу условно бесплатного ПО.

Условия использования.

Программа HandyCache бесплатна для некоммерческого использования, о чём, в частности, указывается на сайте программы и на вкладке «о программе».

Платная регистрация программы снимает несколько ограничений (в связи с чем возможно классифицировать HandyCache как shareware):

- Отсутствие ограничений по количеству пользователей (в незарегистрированной версии — 5)

- Включает возможность кэширования https трафика, в бесплатной версии существует возможность опробовать эту функцию в течение получаса после загрузки программы.

- Не будет принудительно разрешаться загрузка рекламы с сайта программы.

- На вкладке «о программе» вместо стандартного текста будет указание имени пользователя.

- Наличие документов об оплате регистрации и возможность предъявлять их в случае проверки предприятия.

Таким образом, HandyCache может быть неплохим решением для систем Windows, однако его свойства, а именно проприетарность и закрытый исходный код могут послужить причиной уязвимости сети. Так как код системы закрыт, невозможно обнаружить уязвимость до того, как она будет использована для атаки. А платность программы вынуждает дожидаться устранения уязвимости силами сотрудников компании Microsoft, ожидая, когда будет выпущено обновление, закрывающее уязвимость. За это время проникшая вредоносная программа способна нанести значительный ущерб данным ЛВС предприятия. Недавний вирус WannaCry использовал уязвимость самой ОС Windows, и задержка реакции на заражение привели к многочисленным потерям данных по всему миру, тогда как свободное ПО менее подвержено риску за счет того, что анализируется множеством пользоателей, и решение проблемы может осуществить сам пользователь даже без большого опыта, узнав информацию на интернет-обсуждениях (форумах), посвященных определенной программе или проблеме в ней.

 

Squid.

Squid (англ. squid — «кальмар») — программный пакет, реализующий функцию кэширующего прокси-сервера для протоколов HTTP, FTP, Gopher и (в случае соответствующих настроек) HTTPS. Разработан сообществом как программа с открытым исходным кодом (распространяется в соответствии с GNU GPL). Все запросы выполняет как один неблокируемый процесс ввода-вывода.

Используется в UNIX-подобных системах и в ОС семейства Windows NT. Имеет возможность взаимодействия с Active Directory Windows Server путём аутентификации через LDAP, что позволяет использовать разграничения доступа к интернет ресурсам пользователей, которые имеют учётные записи на Windows Server, также позволяет организовать «нарезку» интернет трафика для различных пользователей.

Используется вместе с движками Mediawiki на wiki хостингах. Использование кэширующего прокси-сервера для сайтов становится выгодно примерно с 2000 посетителей в сутки.

Является одним из самых популярных прокси-серверов в мире, за счет своей эффективности, модульность, широкого диапазона настроек и бесплатности.

Сервер Squid развивается в течение уже многих лет. Обеспечивает совместимость с большинством важнейших протоколов Интернета, а также с операционными системами:

- AIX

- BSDI

- FreeBSD

- Linux

- HP-UX

- IRIX

- Mac OS X

- Microsoft Windows

- NetBSD

- NeXTStep

- OSF и Digital Unix

- OpenBSD

- SCO Unix

- SunOS/Solaris

Описание архитектуры

Для контроля доступа к ресурсам и определения ряда действий используются списки контроля доступа (англ. access control list,