ПРИНТЕРЫ СЕГОДНЯ - Xakep Online

126SYN/ACKХАКЕР 04 /171/ 2013Настройка синхронизации с Active DirectoryПубликация локального FTP-сервера в интернетесов по основному интерфейсу продолжается. И как только она оказываетсяуспешной, автоматически выполняется переключение обратно. Единственное,на что нужно обратить внимание при настройке, — это выбор контрольныхресурсов. Лучше взять несколько крупных сайтов, стабильная работакоторых практически гарантирована.После этого можно переходить непосредственно к настройке проксисерверов.Всего в рассматриваемом решении их реализовано семь штук:для протоколов HTTP (включая HTTPs), FTP, SOCKS, POP3, SMTP, SIP и H323.Это практически все, что может понадобиться для работы сотрудников компаниив интернете. По умолчанию включен только HTTP-прокси, все остальныеможно активировать при необходимости.Прокси-серверы в UserGate Proxy & Firewall могут работать в двух режимах— обычном и прозрачном. В первом случае речь идет о традиционномпрокси. Сервер получает запросы от пользователей и переправляет их внешнимсерверам, а полученные ответы передает клиентам. Это традиционноерешение, однако в нем есть свои неудобства. В частности, необходимо настраиватькаждую программу, которая используется для работы в интернете(интернет-браузер, почтовый клиент, ICQ и прочее), на каждом компьютерев локальной сети. Это, конечно, большая работа. Тем более периодически,по мере установки нового программного обеспечения, она будет повторяться.При выборе прозрачного режима используется специальный NATдрайвер,входящий в комплект поставки рассматриваемого решения.Он прослушивает соответствующие порты (80-й для HTTP, 21-й для FTP и такдалее), детектирует поступающие на них запросы и передает их прокси-серверу,откуда они отправляются дальше. Такое решение более удачно в томплане, что настройка программного обеспечения на клиентских машинах ужене нужна. Единственное, что требуется, — в качестве основного шлюза в сетевомподключении всех рабочих станций указать IP-адрес интернет-шлюза.Следующий шаг — настройка пересылки DNS-запросов. Сделать этоможно двумя способами. Самый простой из них — включить так называемыйDNS-форвардинг. При его использовании поступающие на интернет-шлюзот клиентов DNS-запросы перенаправляются на указанные серверы (можноиспользовать как DNS-сервер из параметров сетевого подключения, таки любые произвольные DNS-серверы).Второй вариант — создание NAT-правила, которое будет принимать запросыпо 53-му (стандартный для DNS) порту и переправлять их во внешнююсеть. Однако в этом случае придется либо на всех компьютерах вручную прописыватьDNS-серверы в настройках сетевых подключений, либо настроитьотправку DNS-запросов через интернет-шлюз с сервера контроллера домена.УПРАВЛЕНИЕ ПОЛЬЗОВАТЕЛЯМИПосле завершения базовой настройки можно переходить к работе с пользователями.Начать нужно с создания групп, в которые впоследствии будутобъединяться аккаунты. Для чего это нужно? Во-первых, для последующейинтеграции с Active Directory. А во-вторых, группам можно присваивать правила(о них мы поговорим позднее), таким образом управляя доступом сразубольшого количества пользователей.Следующим шагом будет внесение в систему пользователей. Сделать этоможно тремя разными способами. Первый из них, ручное создание каждогоаккаунта, мы по понятным причинам даже не рассматриваем. Этот вариантподходит лишь для малых сетей с небольшим количеством пользователей.Второй способ — сканирование корпоративной сети ARP-запросами, в ходекоторого система сама определяет список возможных аккаунтов. Однако мывыбираем третий, наиболее оптимальный с точки зрения простоты и удобстваадминистрирования вариант — интеграцию с Active Directory. Выполняетсяона на основе созданных ранее групп. Сначала нужно заполнить общиепараметры интеграции: указать домен, адрес его контроллера, логин и парольпользователя с необходимыми правами доступа к нему, а также интервалсинхронизации. После этого каждой созданной в UserGate группе нужноприсвоить одну или несколько групп из Active Directory. Собственно говоря,настройка на этом и заканчивается. После сохранения всех параметров синхронизациябудет выполняться в автоматическом режиме.Создаваемые в ходе авторизации пользователи по умолчанию будут использоватьNTLM-авторизацию, то есть авторизацию по доменному логину.Это очень удобный вариант, поскольку правила и система учета трафика будутработать независимо от того, за каким компьютером в данный моментсидит пользователь.Правда, для использования этого метода авторизации необходимо дополнительноепрограммное обеспечение — специальный клиент. Эта программаработает на уровне Winsock и передает на интернет-шлюз параметрыавторизации пользователей. Ее дистрибутив входит в комплект поставкиUserGate Proxy & Firewall. Быстро установить клиент на все рабочие станцииможно с помощью групповых политик Windows.К слову сказать, NTLM-авторизация далеко не единственный метод авторизациисотрудников компании для работы в интернете. Например, еслив организации практикуется жесткая привязка работников к рабочим станциям,то можно использовать для идентификации пользователей IP-адрес,MAC-адрес или их сочетание. С помощью этих же методов можно организоватьдоступ к глобальной сети различных серверов.КОНТРОЛЬ ПОЛЬЗОВАТЕЛЕЙОдно из значительных преимуществ UGPF составляют широкие возможностидля контроля пользователей. Они реализуются с помощью системы правилуправления трафиком. Принцип ее работы очень прост. Администратор (илидругое ответственное лицо) создает набор правил, каждое из которых представляетсобой одно или несколько условий срабатывания и выполняемоепри этом действие. Эти правила присваиваются отдельным пользователямили целым их группам и позволяют в автоматическом режиме контролиро-Дополнительные функцииВСТРОЕННЫЙ VPN-СЕРВЕРВ UserGate Proxy & Firewall 6.0 появился компонентVPN-сервер. С его помощью можно организоватьзащищенный удаленный доступ сотрудниковкомпании к локальной сети или объединить удаленныесети отдельных филиалов организации вединое информационное пространство. ДанныйVPN-сервер обладает всеми необходимымифункциональными возможностями для созданиятуннелей «сервер — сервер» и «клиент — сервер»и маршрутизации между подсетями.