Май 24 2010

Методы ограничения доступа к ресурсам.

За свою практику, мне приходилось работать на многих фирмах, и оутсорсить и работать штатным сисадмином. Можно пересчитать по пальцам компании, где не требовали ограничить доступ к некоторым сайтам. Под запрет попадают как правило, социальные сети, сайты знакомств, развлекательные сайты. Некоторые еще требовали не давать офисным работникам ICQ, сайты по трудоустройству и сайты конкурентов. Ввести ограничения можно несколькими способами.
Первый, самый простой — административный запрет.
То есть по предприятию издается приказ запрещающий доступ к этим сайтам, иначе …. Ну тут руководители обычно дают полет фантазии. С одной стороны, сисадмину вроде бы и хорошо, ничего делать не надо. Но этот метод перестает работать после того, как один или два человека попадутся.

Далее следует приказ сисадминам либо следить куда ходят пользователи и писменно докладывать руководству, либо закрыть все нафиг, что бы и не видели этих сайтов.
Первый вариант как по мне совсем неприемлем. Не могу я писать доклады, по своим принципам не могу.
Итак, остается вариант внестии запреты.
Технически сделать это не сложно. В первую очередь нужно получить список всех запретных ресурсов. На вариант — все развлекательные сайты закрыть — не проходит. Их слишком много. Нужно обязательно согласовать этот список. Если руководитель слабовменяемый, то прикрыть себя можно только его же подписанным приказом, где четко перечисленны сайты, на которые запрещен доступ. Ну в этом случае я б еще рекомендовал носить список из 3-5 новых сайтов каждый месяц. Что бы удовлетворить руководство.
Вариант первый. Файерволл. Находим блоки адресов интересующих нас ресурсов и запрещаем им доступ.
Вариант хорош и надежен, но через время прийдется проковыривать в файерволе дырки для самого шефа, потом для его замов, потом для рекрутеров. Но в целом реализуемо. Клиенты могут обойти с помощью туннеля или внешнего прокси сервера. Это все тоже накрывается файерволом.

Вариант второй. DNS. Тут затрат меньше, с одной стороны. Берем на локальном DNS сервере создаем записи с именами ресурсов, указывая в качестве ip-адреса, адрес специального вебсервера, где лежит страничка со сканом приказа по предприятию. Сложности начинаются тогда, когда нужно открыть доступ нескольким человекам из специального списка. Тут выручают файлы hosts или view в dns. Либо ходим настраиваем каждому на его компе в файле hosts адреса ресурсов или настраиваем View в DNS сервере.
Пользователи могут обойти этот заслон с помощью файлов hosts, указать внешний DNS, указать внешний прокси, построить тунель.

Вариант третий. Фильтрующий транспарент прокси. Метод достаточно прост. Если будете использовать Squid, под него есть SquidGuard или например Rejik. Настраивается множество вариантов. Начиная от разных списков доступа для разных лиц и заканчивая разными временными интервалами. То есть можно запретить ходить по этим ресурсам только в рабочее время. Хотя тут я пару раз нарывался на высказывания, что нефиг тратить интернет купленный за деньги компании и разрешать ничего не давали.
Обходится этот метод внешней проксей или тунелем. Поэтому в любом случае, стоит закрывать на файерволе сразу и возможность постройк тунелей и прокси. И следить, что бы не поднимались прокси и VPN сервера на нестандартных портах.

А вообще, тема фильтрации хоть и интересная, но часто вызываем много неприятных последствий. Особенно если руководство совсем невменяемое. Если сисадмин вынужден следить за тем, что делают пользователи, а не заниматься своими прямыми обязанностями, если приходится постоянно приходить на ковер и отчитываться скольких ты споймал за руку, стоит менять работу. Потому что тут нужен не сисадмин, а охранник, и профессионального роста тут не светит. Хотя есть люди которым такая работа нравится.

Добавить в закладки:

google.com bobrdobr.ru del.icio.us technorati.com linkstore.ru news2.ru rumarkz.ru memori.ru moemesto.ru

Украинская Баннерная Сеть