Контроль Интернет активности в Kerio WinRoute Firewall

Сегодня очень тяжело представить эффективную работу любого офиса без наличия Интернет. «Паутина» вне всяких сомнений является удобной средой коммуникаций и источником информации, но при отсутствии контроля Интернет становится источником проблем.

Не секрет, что большинство сотрудников с радостью используют Интернет далеко не в интересах бизнеса. Это и походы по новосным и развлекательным сайтам, он-лайн игры, скачивание программ, видео, музыки, общение на форумах и в чатах. Результат как минимум снижение производительности труда, ведь сотрудник вместо того чтобы быстро проделать свою работу, попросту тратит время оплаченное работодателем, не говоря уже о том, что и Интернетом пользуется также за его счет. Не стоит сбрасывать со счетов то, что именно из Интернета чаще всего атакуется компьютер. Если бы пользователь посещал только ресурсы, связанные с его непосредственной работой, то вероятность подхватить вирус, троянскую программу или быть атакованным через уязвимость в сетевой программе, стремилась к нулю, так как деловые сайты очень заботятся о репутации и не стремятся не допускать подмены контента на враждебный. Заманить доверчивого сотрудника на специальный сайт очень просто. Стоит ли говорить, что троянская программа «поселившаяся» на компьютере в любой организации, может порадовать своего создателя весьма ценной информацией. Конкуренты такому подарку будут только рады. Список неприятностей можно продожать долго, но вывод напрашивается сам собой – без контроля над интернет активностью пользователей неприятностей можно ждать в любую минуту.

Стандартные возможности KWF

Одним из популярных решений для организации совместного доступа в Интернет и защиты ресурсов внутренней сети является Kerio WinRoute Firewall (KWF). Остановимся лишь функции на контроля Интернет трафика. В доступной сегодня версии 6 KWF уже обладает весьма развитыми функциями контентной фильтрации, которые настраиваются в Configuration – Content Filtering и позволяют устанавливать политики для обработки протоколов HTTP, FTP и P2P трафика (P2P Eliminator). Администратор может запретить или разрешить доступ к сайту, построив правило основанное на информации об учетных данных, URL ресурса, специфической URL группы или рейтинга интегрированного сервера контроля трафика IBM OrangeWeb Filter (на сайте проекта он указан как IBM, в настройках Kerio как IIS, в более ранних версиях — Cobion). Последний использует всемирную постоянно обновляющуюся базу данных, в которую занесен список 60 млн. веб-сайтов разбитых по содержимому на приблизительно 60 категорий. Любую категорию сайтов можно разрешить или заблокировать буквально одним движением мышки. К сожалению, этот модуль хотя и встроен в KWF, но лицензию на его использование необходимо приобретать отдельно. Количество лицензий на IBM OrangeWeb Filter должно быть равно количеству лицензий KWF, плюс дополнительные лицензии на пользователей (если их больше 10). К сожалению, за все время мне ни разу не приходилось иметь дело с этим фильтром, поэтому о его эффективности (особенно не в англоязычной части Интернета) что-то конкретное сказать не могу. Хотя идея выглядит неплохо, достаточно администратору указать, что нельзя пользователям заходить, например на новостные ресурсы все остальное OrangeWeb Filter берет на себя. В большинстве же случаев для настройки доступа к некоторым сайтам приходится довольствоваться двумя вкладками: URL Groups и Forbidden Words.
Вкладка URL Groups в версии 6.4 перекочевала из HTTP Policy, где она находилась долгое время, в Definitions. Почему так сделали сказать тяжело, возможно разработчики посчитали, что логичней собрать все групповые настройки (IP, URL, время и сервисы) в одну вкладку. Сперва это непривычно и приходится некоторое время ее искать, поэтому очевидно вначале придется привыкнуть к новому расположению. В URL Groups содержится список правил разбитых на группы. Само правило содержит регулярное выражения соответствующее запрашиваемому URL. По умолчанию в URL Groups находятся три группы правил: Ads/banners, Search Engines и Windows Updates. Имея под рукой журнал работы KWF, очень легко создать правило для любого URL или группы. Для этого досточно нажать кнопку Add. Затем следует выбрать из раскрывающегося списка Group одну из имеющихся групп или ввести новое название. И далее ввести URL ресурса или его шаблон и в строке Description указать описание правила.
Кроме этого WinRoute также может фильтровать веб-страницы, содержащие нежелательные слова. Для поиска таких слов просматривается весь HTTP-трафик, пропущенный предыдущими настройками. Все запрещенные слова имеют вес, который при совпадении суммируется. Если общий вес слов на странице (каждое число считается по разу) превышает число указанное в “Deny pages if their weight reaches” страница блокируется. По умолчанию в этой вкладке уже имеются две группы: Pornography и Warez/Craks. Как и в случае с URL Groups можно добавить свои слова и категории. Также зайдя HTTP Policy – Content Rules можно предотвратить возможность выполнения потенциально опасных скриптов, запретив обработку объектов ActiveX, Java и JavaScript, блокировать всплывающие окна и передачу рефереров.
Чтобы просмотреть какие ресурсы посещают пользователи, администратор вынужден был заглядывать в журналы находящиеся в пункте Logs в подразделах web и http. Здесь можно узнать IP-адрес компьютера, время, URL по которому перешли с указаного адреса и результат запроса. Из контекстного меню реализован поиск и подсветка некоторых событий (заблокированные страницы, закачка большого объема в 10 и 100 Мб и другие), но все равно удобством такой способ получения информации не отличается. Вероятно, поэтому для большей наглядности обычно используется отдельный продукт, вроде WrSpy или ProxyInspector. Справедливости стоит отметить, что в ISA Server 2006 так же нет удобной системы отчетов по использованию Интернет канала, поэтому в большинтсве случаев приходится прибегать к помощи сторонних продуктов того же ProxyInspector, Internet Access Monitor, Интернет Администратор  и других.
Одновременно с выходом версии KWF 6.4 было объявлено, что его возможности расширили, дополнив модулем Kerio StaR (Statistics and Reporting) отвечающим за сбор и вывод различного рода статистик.
Контроль над интернет активностью в KWF
Вообще по личным наблюдениям модуль StaR появился в KWF еще раньше. Еще летом устанавливая версию 6.3.2, я обнаружил во вкладке Status – Statistic некоторые изменения. Ранее доступные здесь графики “Top 20 Users”, “User statistic” и “Interface statistic” исчезли. Остался без изменений лишь последний пункт, но дополнительно появился “User Quota”. Который содержит ту же таблицу, что ранее находилась в “User statistic”, в которой была доступна статистика использования канала по каждому пользователю. Кстати по умолчанию в таблице выведены не все пункты, поэтому следует выбрать в контекстном меню пункт “Modify Columns” и установить флажки напротив нужных пунктов. Очень удобен пункт Quota. Если для пользователей заданы квоты, то здесь будет показан процент использованния трафика от установленного лимита (ближайшего к исчерпанию месячного или дневного) трафика конкретным пользователем. Плюс для удобства восприятия индикатор меняет цвет от зеленого к красному. Выбор пункта “Delete User Traffic Counters” позволит сбросить статистику, но заодно и разблокирует трафик пользователя, если он был заблокирован по причине превышения лимита трафика .
По умолчанию подсчитывается информация по всем интерфейсам. Для более тонкой настройки предназначен новый пункт меню Accounting. Здесь несколько вкладок. В Statistic/Quota два флажка “Gather Internet Usage statistics” и “Gather Users Activity records”позволяют отключать статистику полностью или сбор статистики по отдельным пользователям. Это может понадобиться в том случае если в такой информации нет необходимости. Во вкладке Exceptions задаются исключения, что позволяет не включать в статистику не нужную информацию и соответственно влиять на квоты. Здесь можно определить промежуток времени в течение которого будет собираться статистика, IP-адреса компьютеров и сетей, пользователей и групп, не попадающих в подсчитываемый трафик. Для удобства лучше сразу занести в “Exclude traffic if source or destination …” адреса локальных систем и сетей, чтобы не считать внутренний трафик. В отдельном меню указываются адреса веб-серверов, трафик к которым не будет подсчитываться. Если корпоративный веб-сервер находится в DMZ его можно указать в последнем меню. В глаза бросается то, что в новой версии KWF в “User Quota” все графики показывающие протоколы, загрузки канала и ISS OrangeWeb Filter убраны. Секрет раскрывается нажатием на ссылку “Internet Usage Statistics”, что открывает окно броузера на странице https://IP-KWF:4081/. Для регистрации следует использовать те же учетные данные, что и при работе с консолью KWF. Работа как видите, происходит через защищенное соединение, поэтому перехвата пароля и другой информации бояться не стоит. Хотя можно использовать и протокол без шифрования трафика, зайдя по адресу http://IP-KWF:4080/.

Страница общей статистики модуля Star
После регистрации будет выведена страница с графиками, показывающими активность пользователей за текущий день. Интерфейс локализован, по умолчанию устанавливается то же язык, что и в веб-браузере. Иначе следует нажать “My Account” и во вкладке Preferences в раскрывающемся списке “Preferred language” выбрать русский язык и не забыть нажать “Save Setting”.
Вывод подробной активности пользователя
В левом верхнем графике можно увидеть диаграмму показывающую почасовой трафик на всех интерфейсах компьютера, на котором установлен KWF. Информация за последний час по входящему, исходящему трафику и в общее количество, дублируется в виде цифр в левом верхнем углу графика. Если навести мышку на сам график, то в небольшом окне появятся цифры показывающую загрузку в выбранный часовой интервал. Чуть ниже еще две диограммы показывающие пятерку самых посещаемых веб-узлов и веб-категорий. Для корректного вывода информации в последнего пункте потребуется действующая подписка на ISS Orange Web Filter. Для получения более подробной информации по этим вопросам необходимо перейти в одноименный пункт меню или просто щелкнуть мышкой по графику. В появившемся окне можно увидеть список всех посещенных за выбранный промежуток времени ресурсов, с указанием количества заходов сделанных каждым пользователем. В оставшихся двух графиках можно увидеть пятерку самых активных пользователей и круговая диаграма покажет используемые протоколы.
Квоты и ограничения пользователя
При необходимости легко можно выбрать для отчета любой другой временной промежуток. Для того чтобы перейти на день вперед/назад достаточно использовать стрелки расположенные чуть выше над графиками. Нажатием кнопок можно получить информацию за неделю, месяц или самостоятельно задать период времени. Выбор пункта “Пользователи” позволит получить статистику и по отдельному пользователю, нужная учетная запись выбирается в раскрывающемся списке. Здесь доступны те же пунты, что и на первой странице. Чтобы получить подробную расшифровку активности пользователя, нажимаем гиперссылку под именем, либо переходим в меню “Активность пользователей”. Здесь уже доступна вся информация, чем занимался пользователь в Интернет за выбранный промежуток. Это и список посещенных веб-страниц, работа в сетях мгновенного обмена сообщениями, P2P, загрузка файлов большого размера. С указанием времени начала события, его продолжительности и точного адреса ресурса. В пункте “По объему графика” ранее упоминалось не русифицированное меню (Чуть выше говорится, что Star локализован) представлены учетные записи в порядке убывания использования трафика.
Чтобы увидеть статистику по использованию установленных квот на трафик для текущей учетной записи следует выбрать “Моя учетная запись” в правом верхнем углу или сразу зайти на страницу https://ip-адрес:4081/star (http://ip-адрес:4080/star). Здесь же показаны установленные ограничения веб-доступа.
Нововедения в новой версии Kerio WinRoute Firewall можно приветствовать. У администратора теперь будет в руках не только простой инструмент для организации совместного доступа в Интернет и защиты внутренних ресурсов, но и удобное средство контроля над использованием трафика. Отпадает необходимость в использовании сторонних инструментов.

Теги:

Понравилась статья? Оставьте комментарий или подпишитесь на RSS рассылку.

Комментарии

Комментариев пока что нет

Оставить комментарий

(required)

(required)