Контролируем интернет-активность пользователей с Kerio WinRoute Firewall

Сергей Яремчук

Контролируем интернет-активность пользователей с Kerio WinRoute Firewall

Сегодня очень тяжело представить эффективную работу любого офиса без наличия Интернета. «Паутина», вне всяких сомнений, является удобной средой коммуникаций и источником информации, но при отсутствии контроля Интернет становится источником проблем.

Не секрет, что большинство сотрудников с радостью используют Интернет далеко не в интересах бизнеса. Это и походы по новостным и развлекательным сайтам, он-лайн-игры, скачивание программ, видео, музыки, общение на форумах и в чатах. Результат, как минимум, снижение производительности труда, ведь сотрудник вместо того чтобы быстро проделать свою работу, попросту тратит время, оплаченное работодателем, не говоря уже о том, что и Интернетом пользуется также за его счет. К тому же именно из Интернета чаще всего атакуется компьютер. Если бы пользователь посещал только ресурсы, связанные с его непосредственной работой, то вероятность подхватить вирус, троянскую программу или быть атакованным через уязвимость в сетевой программе, стремилась к нулю, так как деловые сайты очень заботятся о репутации и стремятся не допускать подмены контента на враждебный. Заманить доверчивого сотрудника на специальный сайт очень просто. Стоит ли говорить, что троянская программа, «поселившаяся» на компьютере в любой организации, может порадовать своего создателя весьма ценной информацией. Конкуренты такому подарку будут только рады. Список неприятностей можно продолжать долго, но вывод напрашивается сам собой – без контроля над интернет-активностью пользователей неприятностей можно ждать в любую минуту.

Стандартные возможности Kerio WinRoute Firewall

Одним из популярных решений для организации совместного доступа в Интернет и защиты ресурсов внутренней сети является Kerio WinRoute Firewall (KWF). В журнале уже рассказывалось о его возможностях [1], поэтому остановлюсь лишь на контроле интернет-трафика.

В доступной сегодня версии 6 KWF уже обладает весьма развитыми функциями контентной фильтрации, которые настраиваются в «Configuration -> Content Filtering» и позволяют устанавливать политики для обработки протоколов HTTP, FTP и P2P-трафика (P2P Eliminator).

Администратор может запретить или разрешить доступ к сайту, построив правило, основанное на информации об учетных данных, URL ресурса, URL специфической группы или рейтинга интегрированного сервера контроля трафика IBM OrangeWeb Filter (на сайте проекта он указан как IBM, в настройках Kerio – как IIS, в более ранних версиях – Cobion). Последний использует всемирную постоянно обновляющуюся базу данных, в которую занесен список 60 млн. веб-сайтов, разбитых по содержимому приблизительно на 60 категорий. Любую категорию сайтов можно разрешить или заблокировать буквально одним движением мышки. К сожалению, этот модуль хотя и встроен в KWF, но лицензию на его использование необходимо приобретать отдельно.

Количество лицензий на IBM OrangeWeb Filter должно быть равно количеству лицензий KWF плюс дополнительные лицензии на пользователей (если их больше 10).

К сожалению, за все время мне ни разу не приходилось иметь дело с этим фильтром, поэтому о его эффективности (особенно не в англоязычной части Интернета) что-то конкретное сказать не могу. Хотя идея выглядит неплохо, достаточно администратору указать, что нельзя пользователям заходить, например, на новостные ресурсы, все остальное OrangeWeb Filter берет на себя.

В большинстве же случаев для настройки доступа к некоторым сайтам приходится довольствоваться двумя вкладками: «URL Groups» и «Forbidden Words».

Вкладка «URL Groups» в версии 6.4 перекочевала из «HTTP Policy», где она находилась долгое время, в «Definitions». Почему так сделали, сказать тяжело, возможно разработчики посчитали, что логичней собрать все групповые настройки (IP, URL, время и сервисы) в одну вкладку. Сперва это непривычно и приходится некоторое время ее искать, поэтому, очевидно, вначале придется привыкнуть к новому расположению. В «URL Groups» содержится список правил, разбитых на группы. Само правило содержит регулярное выражение, соответствующее запрашиваемому URL. По умолчанию в «URL Groups» находятся три группы правил: Ads/banners, Search Engines и Windows Updates.

Имея под рукой журнал работы KWF, очень легко создать правило для любого URL или группы. Для этого достаточно нажать кнопку «Add». Затем следует выбрать из раскрывающегося списка «Group» одну из имеющихся групп или ввести новое название. И далее ввести URL ресурса или его шаблон и в строке «Description» указать описание правила.

Кроме этого WinRoute также может фильтровать веб-страницы, содержащие нежелательные слова. Для поиска таких слов просматривается весь HTTP-трафик, пропущенный предыдущими настройками. Все запрещенные слова имеют вес, который при совпадении суммируется. Если общий вес слов на странице (каждое число считается по разу) превышает число, указанное в «Deny pages if their weight reaches», страница блокируется. По умолчанию в этой вкладке уже имеются две группы: Pornography и Warez/Craks. Как и в случае с URL Groups можно добавить свои слова и категории. Также зайдя «HTTP Policy -> Content Rules», можно предотвратить возможность выполнения потенциально опасных скриптов, запретив обработку объектов ActiveX, Java и JavaScript, блокировать всплывающие окна и передачу рефереров.

Чтобы просмотреть, какие ресурсы посещают пользователи, администратор вынужден был заглядывать в журналы, находящиеся в пункте «Logs» в подразделах «web» и «http». Здесь можно узнать IP-адрес компьютера, время, URL, по которому перешли с указаного адреса, и результат запроса.

Из контекстного меню реализован поиск и подсветка некоторых событий (заблокированные страницы, закачка большого объема в 10 и 100 Мб и другие), но все равно удобством такой способ получения информации не отличается. Вероятно, поэтому для большей наглядности обычно используется отдельный продукт, вроде WrSpy [2] или ProxyInspector [3].

Справедливости ради стоит отметить, что в ISA Server 2006 также нет удобной системы отчетов по использованию интернет-канала, поэтому в большинстве случаев приходится прибегать к помощи сторонних продуктов, того же ProxyInspector, Internet Access Monitor [4], Интернет Администратор [5] и других.

Одновременно с выходом версии KWF 6.4 было объявлено, что его возможности расширили, дополнив модулем Kerio StaR (Statistics and Reporting), отвечающим за сбор и вывод различного рода статистик.

Страница общей статистики модуля Star

Контроль над интернет-активностью в KWF

По личным наблюдениям модуль StaR появился в KWF еще раньше. Еще летом, устанавливая версию 6.3.2, я обнаружил во вкладке «Status -> Statistic» некоторые изменения. Ранее доступные здесь графики «Top 20 Users», «User statistic» и «Interface statistic» исчезли. Остался без изменений лишь последний пункт, но дополнительно появился «User Quota». Он содержит ту же таблицу, что ранее находилась в «User statistic», в которой была доступна статистика использования канала по каждому пользователю. Кстати, по умолчанию в таблице выведены не все пункты, поэтому следует выбрать в контекстном меню пункт «Modify Columns» и установить флажки напротив нужных пунктов. Очень удобен пункт «Quota». Если для пользователей заданы квоты, то здесь будет показан процент использования трафика от установленного лимита (ближайшего к исчерпанию месячного или дневного) трафика конкретным пользователем. Плюс для удобства восприятия индикатор меняет цвет от зеленого к красному. Выбор пункта «Delete User Traffic Counters» позволит сбросить статистику, но заодно и разблокирует трафик пользователя, если он был заблокирован по причине превышения лимита трафика.

Вывод подробной активности пользователя

По умолчанию подсчитывается информация по всем интерфейсам. Для более тонкой настройки предназначен новый пункт меню «Accounting». Здесь несколько вкладок.

В «Statistic -> Quota» два флажка «Gather Internet Usage statistics» и «Gather Users Activity records» позволяют отключать статистику полностью или сбор статистики по отдельным пользователям. Это может понадобиться в том случае, если в такой информации нет необходимости.

Во вкладке «Exceptions» задаются исключения, что позволяет не включать в статистику ненужную информацию и соответственно влиять на квоты. Здесь можно определить промежуток времени, в течение которого будут собираться статистика, IP-адреса компьютеров и сетей, пользователей и групп, не попадающих в подсчитываемый трафик. Для удобства лучше сразу занести в «Exclude traffic if source or destination …» адреса локальных систем и сетей, чтобы не считать внутренний трафик.

Квоты и ограничения пользователя

В отдельном меню указываются адреса веб-серверов, трафик к которым не будет подсчитываться.

Если корпоративный веб-сервер находится в DMZ, его можно указать в последнем меню.

В глаза бросается то, что в новой версии KWF в «User Quota» все графики, показывающие протоколы, загрузки канала и ISS OrangeWeb Filter, убраны. Секрет раскрывается нажатием на ссылку «Internet Usage Statistics», что открывает окно браузера на странице https://IP-KWF:4081. Для регистрации следует использовать те же учетные данные, что и при работе с консолью KWF. Работа, как видите, происходит через защищенное соединение, поэтому перехвата пароля и другой информации бояться не стоит. Хотя можно использовать и протокол без шифрования трафика, зайдя по адресу http://IP-KWF:4080.

После регистрации будет выведена страница с графиками, показывающими активность пользователей за текущий день. Интерфейс локализован, по умолчанию устанавливается тот же язык, что и в веб-браузере. Иначе следует нажать «My Account» и во вкладке Preferences в раскрывающемся списке «Preferred language» выбрать русский язык и не забыть нажать «Save Setting».

В левом верхнем графике можно увидеть диаграмму, показывающую почасовой трафик на всех интерфейсах компьютера, на котором установлен KWF. Информация за последний час по входящему, исходящему трафику и общее количество дублируется в виде цифр в левом верхнем углу графика. Если навести мышку на график, то в небольшом окне появятся цифры, показывающие загрузку в выбранный часовой интервал. Чуть ниже еще две диаграммы, показывающие пятерку самых посещаемых веб-узлов и веб-категорий. Для корректного вывода информации в последнем пункте потребуется действующая подписка на ISS Orange Web Filter. Для получения более подробной информации по этим вопросам необходимо перейти в одноименный пункт меню или просто щелкнуть мышкой по графику. В появившемся окне можно увидеть список всех посещенных за выбранный промежуток времени ресурсов, с указанием количества заходов, сделанных каждым пользователем. В оставшихся двух графиках можно увидеть пятерку самых активных пользователей, и круговая диаграмма покажет используемые протоколы.

При необходимости легко можно выбрать для отчета любой другой временной промежуток. Для того чтобы перейти на день вперед/назад, достаточно использовать стрелки, расположенные чуть выше над графиками. Нажатием кнопок можно получить информацию за неделю, месяц или самостоятельно задать период времени. Выбор пункта «Пользователи» позволит получить статистику и по отдельному пользователю, нужная учетная запись выбирается в раскрывающемся списке. Здесь доступны те же пунты, что и на первой странице. Чтобы получить подробную расшифровку активности пользователя, нажимаем гиперссылку под именем либо переходим в меню «Активность пользователей». Здесь уже доступна вся информация, чем занимался пользователь в Интернете за выбранный промежуток. Это и список посещенных веб-страниц, работа в сетях мгновенного обмена сообщениями, P2P, загрузка файлов большого размера. С указанием времени начала события, его продолжительности и точного адреса ресурса. В пункте «По объему графика» представлены учетные записи в порядке убывания использования трафика.

Чтобы увидеть статистику по использованию установленных квот на трафик для текущей учетной записи, следует выбрать «Моя учетная запись» в правом верхнем углу или сразу зайти на страницу https://ip-адрес:4081/star (http://ip-адрес:4080/star). Здесь же показаны установленные ограничения веб-доступа.

Нововведения в новой версии Kerio WinRoute Firewall можно приветствовать. У администратора теперь будет в руках не только простой инструмент для организации совместного доступа в Интернет и защиты внутренних ресурсов, но и удобное средство контроля над использованием трафика. Отпадает необходимость в использовании сторонних инструментов.

Удачи!

1. Марков Р. Организация общего доступа в Интернет и защиты от вторжений на основе Kerio WinRoute Firewall 6. //«Системный администратор», № 1, 2005 г. – C. 28-34.
2. Марков Р. WrSpy – cчитаем и контролируем трафик почтовых и прокси-серверов. //«Системный администратор», № 8, 2005 г. – C. 36-41.
3. Сайт ProxyInspector – http://advsoft.info/ru/products/proxyinspector.
4. Сайт Internet Access Monitor – http://www.redline-software.com/rus/products/iam.
5. Сайт «Интернет Администратор» – http://www.iadmin.ru.
6. Сайт Kerio WinRoute Firewall – http://www.kerio.ru.

Комментарии могут оставлять только зарегистрированные пользователи